В криптографии метод соглашения о ключах с аутентификацией паролем (PAK) — это интерактивный метод, позволяющий двум или более сторонам установить криптографические ключи на основе знания пароля одной или несколькими сторонами.
Важным свойством является то, что перехватчик или посредник не могут получить достаточно информации, чтобы иметь возможность подобрать пароль методом перебора без дальнейшего взаимодействия со сторонами для каждого (несколько) попыток. Это означает, что надежную безопасность можно обеспечить, используя слабые пароли.
Типы
Соглашение о ключах, проверяемых паролем, обычно включает в себя такие методы, как:
- Сбалансированный обмен ключами с аутентификацией по паролю
- Расширенный обмен ключами с аутентификацией по паролю
- Получение ключа с аутентификацией паролем
- Многосерверные методы
- Многопартийные методы
В наиболее строгих моделях безопасности, основанных только на пароле, пользователю метода не требуется запоминать какие-либо секретные или общедоступные данные , кроме пароля.
Обмен ключами с аутентификацией паролем (PAKE) — это метод, при котором две или более стороны, основываясь только на своем знании общего пароля, [1] устанавливают криптографический ключ, используя обмен сообщениями, например, неавторизованная сторона (тот, кто контролирует канал связи, но не обладает паролем) не может участвовать в методе и максимально ограничен от перебора пароля. (Оптимальный случай дает ровно одно предположение за каждый обмен.) Две формы PAKE — это сбалансированные и расширенные методы. [1]
Сбалансированный ПАКЕ
Сбалансированный PAKE предполагает, что две стороны в ситуации клиент-клиент или клиент-сервер используют один и тот же секретный пароль для согласования и аутентификации общего ключа. [1] Примеры:
- Зашифрованный обмен ключами (EKE)
- ПАК и ППК [2]
- SPEKE (Простой экспоненциальный обмен ключами для паролей)
- Протокол безопасного удаленного пароля на основе эллиптической кривой (EC-SRP или SRP5) [3] Существует бесплатная реализация карты Java. [4]
- Стрекоза — стандарт IEEE 802.11-2012, RFC 5931, RFC 6617.
- CPace [5]
- СПАКЕ1 и СПАКЕ2 [6] [7]
- СЕСПАК – RFC 8133
- J-PAKE (обмен ключами с аутентификацией паролем путем жонглирования) – ISO/IEC 11770-4 (2017), RFC 8236
- Рекомендация МСЭ-Т X.1035
- «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» [8]
Дополненный ПАКЕ
Расширенный PAKE — это вариант, применимый к сценариям клиент/сервер, в которых сервер не хранит данные, эквивалентные паролю. Это означает, что злоумышленник, укравший данные сервера, по-прежнему не сможет замаскироваться под клиента, если сначала не выполнит перебор пароля. Некоторые расширенные системы PAKE используют не обращающую внимания псевдослучайную функцию для смешивания секретного пароля пользователя с секретным значением соли сервера, так что пользователь никогда не узнает секретное значение соли сервера, а сервер никогда не узнает пароль пользователя (или значение, эквивалентное паролю) или последний ключ. [9]
Примеры включают в себя:
- AMP
- Дополненный-EKE
- Б-СПИК
- ПАК-Х [2]
- СРП [а]
- АугПАКЕ [11]
- НЕПАКОВЫЙ [12] [13] [14]
- АуКПейс [15]
- СПАК2+ [16]
- «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» [8]
Получение ключа
Получение ключа с аутентификацией по паролю — это процесс, в котором клиент получает статический ключ в ходе согласования на основе пароля с сервером, которому известны данные, связанные с паролем, например методы Форда и Калиски. В наиболее строгой ситуации одна сторона использует только пароль в сочетании с N (двумя или более) серверами для получения статического ключа. Это выполняется таким образом, чтобы защитить пароль (и ключ), даже если N − 1 серверов будут полностью скомпрометированы.
Краткая история
Первыми успешными методами согласования ключей с аутентификацией по паролю были методы зашифрованного обмена ключами , описанные Стивеном М. Белловином и Майклом Мерриттом в 1992 году. Хотя некоторые из первых методов имели недостатки, сохранившиеся и усовершенствованные формы EKE эффективно превращают общий пароль в общий пароль. ключ, который затем можно использовать для шифрования и/или аутентификации сообщения. Первые доказуемо безопасные протоколы PAKE были представлены в работах М. Белларе, Д. Пойнтчеваля и П. Рогавея (Eurocrypt 2000), а также В. Бойко, П. Маккензи и С. Пателя (Eurocrypt 2000). Безопасность этих протоколов была доказана в так называемой модели случайного оракула (или даже в более сильных ее вариантах), а первыми протоколами, безопасность которых была доказана при стандартных предположениях, были протоколы О. Голдрейха и Й. Линделла (Crypto 2001), которые служат доказательством правдоподобия, но неэффективно, а Дж. Кац, Р. Островский и М. Юнг (Eurocrypt 2001) — практично.
Первые методы получения ключей с аутентификацией по паролю были описаны Фордом и Калиски в 2000 году.
Значительное количество альтернативных безопасных протоколов PAKE было представлено в работах М. Белларе, Д. Пойнтчеваля и П. Рогауэя, вариации и доказательства безопасности были предложены в этом растущем классе методов согласования ключей с аутентификацией паролем. Текущие стандарты для этих методов включают IETF RFC 2945, RFC 5054, RFC 5931, RFC 5998, RFC 6124, RFC 6617, RFC 6628 и RFC 6631, IEEE Std 1363.2-2008, ITU-T X.1035 и ISO - IEC 11770-4. :2006.
Процесс выбора PAKE для использования в интернет-протоколах
По запросу рабочей группы по интернет-инжинирингу IETF в 2018 и 2019 годах исследовательской группой криптофорума IRTF (CFRG) был проведен процесс выбора PAKE. Отбор кандидатов проводился в несколько туров. [17]
В финальном раунде 2019 года победили четыре финалиста AuCPace, OPAQUE (расширенные корпуса) и CPace, SPAKE2 (сбалансированный PAKE). В результате процесса выбора CFRG два протокола-победителя были объявлены «рекомендованными CFRG для использования в протоколах IETF»: CPace и OPAQUE.[18]
Смотрите также
Рекомендации
- ^ Разработано так, чтобы не быть обремененным патентами. [10]
- ^ abc Хао, Фэн; Райан, Питер Ю.А. (2011). «Обмен ключами с аутентификацией паролем путем жонглирования». Ин Кристиансон, Брюс; Малькольм, Джеймс А.; Матяс, Вашек; Роу, Майкл (ред.). Протоколы безопасности XVI . Конспекты лекций по информатике. Том. 6615. Берлин, Гейдельберг: Springer. стр. 159–171. дои : 10.1007/978-3-642-22137-8_23. ISBN 978-3-642-22137-8.
- ^ аб Бойко, В.; П. Маккензи; С. Патель (2000). «Надежный безопасный обмен ключами с аутентификацией паролем с использованием Диффи-Хеллмана». Достижения в криптологии — EUROCRYPT 2000 . Конспекты лекций по информатике. Том. 1807. Шпрингер-Верлаг. стр. 156–171. дои : 10.1007/3-540-45539-6_12. ISBN 978-3-540-67517-4.
- ^ Ван, Юнге (2006). «Анализ безопасности протокола аутентификации на основе пароля, предложенного в IEEE 1363» (PDF) . Теоретическая информатика . 352 (1–3): 280–287. arXiv : 1207.5442 . дои : 10.1016/j.tcs.2005.11.038. S2CID 11618269.
- ^ "Апплет Java-карты EC-SRP" . Гитхаб . Март 2020.
- ^ Хаазе, Бьорн; Гессен, Юлия; Абдалла, Мишель (2021). «OPAQUE: асимметричный протокол PAKE, защищенный от атак с предварительным вычислением» (PDF) . Достижения в криптологии – EUROCRYPT 2018 . Конспекты лекций по информатике. Том. 10822. стр. 456–486. дои : 10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID 4046378.
- ^ Абдалла, М.; Д. Поинтчеваль (2005). «Простые протоколы обмена ключами с шифрованием на основе пароля». Темы криптологии – CT-RSA 2005 (PDF) . Конспекты лекций по информатике. Том. 3376. Шпрингер Берлин Гейдельберг. стр. 191–208. CiteSeerX 10.1.1.59.8930 . дои : 10.1007/978-3-540-30574-3_14. ISBN 978-3-540-24399-1.
- ↑ Лэдд, Уотсон (8 февраля 2022 г.). Кадук, Бенджамин (ред.). «SPAKE2, ПАКЕ (Черновик)». IETF.
- ^ ab US11025421B2, Фэй, Бьорн, «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации», выпущено 1 июня 2021 г.
- ^
Мэтью Грин. «Давайте поговорим о ПАКЕ». 2018.
- ^ «Что такое SRP?». Стэндфордский Университет .
- ^ Шин, Сонхан; Кобара, Казукуни (июнь 2012 г.). «Эффективная расширенная аутентификация только по паролю и обмен ключами для IKEv2». Рабочая группа по интернет-инжинирингу. Архивировано из оригинала 12 мая 2021 года.
- ^ Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер. «Протокол асимметричного PAKE OPAQUE (проект)». Рабочая группа по интернет-инжинирингу .
- ^ Татьяна Брэдли (08.12.2020). «OPAQUE: лучшие пароли никогда не покидают ваше устройство». Блог Cloudflare .
- ^ Бурдрез, Дэниел; Кравчик, Хьюго; Леви, Кевин; Вуд, Кристофер А. (6 июля 2022 г.). «Асимметричный протокол OPAQUE PAKE (Интернет-проект)». IETF.
- ^ Хаазе, Бьорн; Лабрик, Бенуа (август 2010 г.). «AuCPace: эффективный протокол PAKE на основе верификатора, адаптированный для IIoT» (PDF) . ТЧЕС : 1–48. doi : 10.13154/tches.v2019.i2.1-48. S2CID 4603454.
- ^ Тауберт, Т.; Вуд, К. (5 мая 2022 г.). «SPAKE2+, расширенный PAKE (проект)». IETF.
- ^ Репозиторий для процесса выбора CFRG Pake
- ^ Результаты процесса выбора CFRG PAKE
дальнейшее чтение
- Белларе, М.; Д. Пуэнчеваль; П. Рогауэй (2000). «Аутентифицированный обмен ключами, защищенный от атак по словарю». Достижения в криптологии — EUROCRYPT 2000 . Конспекты лекций по информатике . Том. 1807. Шпрингер-Верлаг. стр. 139–155. дои : 10.1007/3-540-45539-6_11. ISBN 978-3-540-67517-4.
- Белловин, С.М.; М. Мерритт (май 1992 г.). «Зашифрованный обмен ключами: протоколы на основе паролей, защищающие от атак по словарю». Материалы симпозиума компьютерного общества IEEE 1992 года по исследованиям в области безопасности и конфиденциальности . Окленд. стр. 72–84. дои : 10.1109/RISP.1992.213269. ISBN 978-0-8186-2825-2. S2CID 16063466.
{{cite book}}
: CS1 maint: отсутствует местоположение издателя ( ссылка ) - Форд, В.; Б. Калиски (14–16 июня 2000 г.). «Генерация надежного секрета пароля с помощью сервера». Материалы 9-го международного семинара IEEE по перспективным технологиям: инфраструктура для совместных предприятий (WET ICE 2000) . Гейтерсбург, Мэриленд: НИСТ. стр. 176–180. CiteSeerX 10.1.1.17.9502 . дои : 10.1109/ENABL.2000.883724. ISBN 978-0-7695-0798-9. S2CID 1977743.
- Гольдрейх, О.; Ю. Линделл (2001). «Генерация сеансовых ключей с использованием только человеческих паролей». Достижения криптологии — КРИПТО 2001 . Конспекты лекций по информатике. Том. 2139. Шпрингер-Верлаг. стр. 408–432. дои : 10.1007/3-540-44647-8_24. ISBN 978-3-540-42456-7.
- IEEE Std 1363.2-2008: Стандартные спецификации IEEE для методов шифрования с открытым ключом на основе пароля . IEEE. 2009. ISBN 978-0-7381-5806-8. ОСЛК 319883358.
- Кац, Дж.; Р. Островский; М. Юнг (2001). «Эффективный обмен ключами с аутентификацией паролем с использованием запоминающихся паролей» (PDF) . Международная ассоциация криптологических исследований . Спрингер-Вергал.
- Ву, Т. (сентябрь 2000 г.). «Система аутентификации SRP и обмена ключами». Редактор RFC . doi : 10.17487/rfc2945. РФК 2945 .
- Тейлор, Д.; Ву, Т.; Маврояннопулос, Н.; Перрин, Т. (ноябрь 2007 г.). «Использование протокола безопасного удаленного пароля (SRP) для аутентификации TLS». Редактор RFC . дои : 10.17487/rfc5054 . РФК 5054 .
- Харкинс, Д.; Зорн, Г. (август 2010 г.). «Аутентификация по расширяемому протоколу аутентификации (EAP) с использованием только пароля». Редактор RFC . doi : 10.17487/rfc5931. РФК 5931 .
- Шеффер, Ю.; Цорн, Г.; Чофениг, Х.; Флюрер, С. (февраль 2011 г.). «Метод аутентификации EAP на основе протокола обмена зашифрованными ключами (EKE)». Редактор RFC . doi : 10.17487/rfc6124. RFC 6124 .
- Харкинс, Д. (июнь 2012 г.). «Аутентификация с использованием предварительного общего ключа (PSK) для протокола обмена ключами в Интернете (IKE)». Редактор RFC . doi : 10.17487/rfc6617. РФК 6617 .
- ISO/IEC 11770-4:2006 Информационные технологии. Методы обеспечения безопасности. Управление ключами. Часть 4. Механизмы, основанные на слабых секретах.
- IEEE Std 802.11-2012: Стандарт IEEE для информационных технологий – часть 11, спецификация управления доступом к среде беспроводной локальной сети (MAC) и физического уровня (PHY) . IEEE. 2012. ISBN 978-0-7381-8469-2. ОКЛК 1017978449.
- Ярецкий, Станислав; Кравчик, Хьюго; Сюй, Цзяюй (2018). «OPAQUE: асимметричный протокол PAKE, защищенный от атак с предварительным вычислением». Достижения в криптологии – EUROCRYPT 2018 (PDF) . Конспекты лекций по информатике. Том. 10822. стр. 456–486. дои : 10.1007/978-3-319-78372-7_15. ISBN 978-3-319-78371-0. S2CID 4046378.
- Смышляев Станислав; Ошкин Игорь; Алексеев Евгений; Ахметзянова, Лилия (2015). «О безопасности протокола обмена ключами с аутентификацией по одному паролю» (PDF) . Архив криптологии ePrint (отчет 2015/1237).
Внешние ссылки
- Рабочая группа IEEE P1363
- IEEE Std 1363.2-2008: Стандартные спецификации IEEE для методов шифрования с открытым ключом на основе паролей.
- Ссылки Дэвида Яблона на криптографию на основе паролей
- Простые протоколы обмена зашифрованными ключами на основе пароля Абдалла и др. 2005 г.