Реферат: ТИПИЧНЫЕ ДЕФЕКТЫ В КРИПТОГРАФИЧЕСКИХ ПРОТОКОЛАХ

--PAGE_BREAK--Дефекты в криптографических протоколах
В последующих разделах рассматриваются протоколы с типичными дефектами. Примеры протоколов разбиты на группы по типу используемой криптосистемы:

-        протоколы с криптосистемой DH (Диффи, Хэллман);

-        протоколы с криптосистемой RSA (Райвест, Шамир, Адлеман);

-        протоколы с коммутативным шифрованием (Шамир);

-        протоколы аутентифицированного распределения ключей;

-        протоколы, основанные на тождествах.
Протоколы с криптосистемой DH (Диффи, Хэллман)
Исторически криптосистема DH является первой криптосистемой с открытыми ключами (КСОК), основанной на экспоненциальной однонаправленной функции. Сначала эта криптосистема использовалась как схема распределения ключей для классической симметричной криптосистемы с секретными общими ключами. Предварительно все пользователи сети связи получают от сервера S по достоверному каналу системные константы (Р, <img width=«15» height=«15» src=«ref-1_301424658-192.coolpic» v:shapes="_x0000_i1025">), где простое число Р и основание степени <img width=«15» height=«15» src=«ref-1_301424658-192.coolpic» v:shapes="_x0000_i1026"> выбираются надлежащим образом.
Протокол ключевого обмена DH
Пользователи А и В формируют секретный ключ парной связи Kab с помощью следующего протокола (Рис.1)

-        Пользователь А от датчика случайных чисел (ДСЧ) генерирует случайное число Xa,  вычисляет <img width=«123» height=«22» src=«ref-1_301425042-306.coolpic» v:shapes="_x0000_i1027">и посылает его В.

-        Пользователь В от своего датчика генерирует случайное число Xb, вычисляет<img width=«123» height=«23» src=«ref-1_301425348-306.coolpic» v:shapes="_x0000_i1028"> и посылает его А.

-        Пользователь А, получив число YbотВ, вычисляет<img width=«131» height=«23» src=«ref-1_301425654-328.coolpic» v:shapes="_x0000_i1029">.

-        Пользователь В, получив число Ya от А, вычисляет<img width=«124» height=«23» src=«ref-1_301425982-341.coolpic» v:shapes="_x0000_i1030">.

<img width=«373» height=«240» src=«ref-1_301426323-1746.coolpic» v:shapes="_x0000_i1031">

Рис.1
Числа Xa, Xb  стираются. Поскольку <img width=«225» height=«24» src=«ref-1_301428069-426.coolpic» v:shapes="_x0000_i1032"> , то Kab = Kba .

Для краткости вместо словесного описания обычно применяется формальная запись, в которой двоеточие означает перечисление совершаемых пользователем действий, стрелка означает генерацию, извлечение или запись информации по внутренним цепям (каналам) пользователя, двойная стрелка означает передачу по внешнему открытому каналу, тройная стрелка — передачу по внешнему защищенному каналу связи, например, передачу по шифрованному каналу секретных данных для пользователя от сервера S. В данном случае формальная запись протокола выглядит следующим образом:

А: ДСЧ (А) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1033"> Xa;  <img width=«113» height=«25» src=«ref-1_301428687-324.coolpic» v:shapes="_x0000_i1034">;       [A
║ B
║ Ya] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1035"> B

В: ДСЧ (В) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1036"> Xb; <img width=«124» height=«23» src=«ref-1_301429396-329.coolpic» v:shapes="_x0000_i1037"><img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1038">
КЗУ(В); <img width=«120» height=«23» src=«ref-1_301429917-305.coolpic» v:shapes="_x0000_i1039">;

[B
║A
║Yb] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1040"> A,

А: <img width=«207» height=«23» src=«ref-1_301430415-434.coolpic» v:shapes="_x0000_i1041">

Здесь: ║ — знак присоединения, [… ] — сформированное сообщение, КЗУ — ключевое запоминающее устройство.

Предполагается, что канал без ошибок и без воздействий противника (Е).

Атака 1. Еb — противник Е, играющий роль пользователя В, перехватывает сообщение отА к В и формирует ключ парной связи Kea=Kae, причем А считает, что это ключ связи с В (Рис.2):

<img width=«8» height=«11» src=«ref-1_301430849-218.coolpic» v:shapes="_x0000_s1029">А: ДСЧ (А) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1042"> Xa; <img width=«120» height=«23» src=«ref-1_301431259-307.coolpic» v:shapes="_x0000_i1043">; [A
║ B
║ Ya] <img width=«20» height=«16» src=«ref-1_301431566-191.coolpic» v:shapes="_x0000_i1044">Eb<img width=«36» height=«16» src=«ref-1_301431757-199.coolpic» v:shapes="_x0000_i1045">B

Eb: ДСЧ (E) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1046"> Xе; <img width=«124» height=«24» src=«ref-1_301432148-331.coolpic» v:shapes="_x0000_i1047"><img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1048">
КЗУ(E); <img width=«119» height=«23» src=«ref-1_301432671-305.coolpic» v:shapes="_x0000_i1049">;

[B
║A
║Ye] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1050"> A

А: <img width=«204» height=«23» src=«ref-1_301433169-424.coolpic» v:shapes="_x0000_i1051">
<img width=«338» height=«275» src=«ref-1_301433593-1765.coolpic» v:shapes="_x0000_i1052">

Рис.2
Атака 2.Еа, Еb -противник Е, играющий роли пользователей А и В, перехватывает сообщения от А и В, формирует ключиKae и Keb парной связи с А и В путем ведения двух параллельных протоколов. В результате пользователи А и В считают, что они имеют конфиденциальную связь на ключе Kab; в действительности они установили шифрованную связь с перешифрованием у противника Е. (Рис.3).
<img width=«427» height=«118» src=«ref-1_301435358-1574.coolpic» v:shapes="_x0000_i1053">


    продолжение
--PAGE_BREAK--Рис.3


А: ДСЧ (А) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1054"> Xa;    <img width=«120» height=«23» src=«ref-1_301431259-307.coolpic» v:shapes="_x0000_i1055">;     [A ║ B ║ Ya] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1056">Eb

Eb: ДСЧ (E) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1057"> Xе; <img width=«124» height=«23» src=«ref-1_301437816-329.coolpic» v:shapes="_x0000_i1058"><img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1059">КЗУ(E); <img width=«119» height=«23» src=«ref-1_301432671-305.coolpic» v:shapes="_x0000_i1060">;

[B║A║Ye] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1061"> A

Ea: [A║B║Ye] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1062"> B,

А: <img width=«221» height=«23» src=«ref-1_301439028-435.coolpic» v:shapes="_x0000_i1063">

В: ДСЧ(В)<img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1064"> Xb;<img width=«132» height=«23» src=«ref-1_301439655-330.coolpic» v:shapes="_x0000_i1065"><img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1066">КЗУ(В); <img width=«121» height=«23» src=«ref-1_301440177-305.coolpic» v:shapes="_x0000_i1067">;[B║A║Yb] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1068"> Ea,

Ea: <img width=«227» height=«23» src=«ref-1_301440675-432.coolpic» v:shapes="_x0000_i1069">
Протокол аутентифицированного ключевого обмена DH
После получения системных констант <img width=«44» height=«27» src=«ref-1_301441107-245.coolpic» v:shapes="_x0000_i1070"> от сервера S пользователи А, В, С,… генерируют от ДСЧ секретные ключи Ха, Хb, Xc,… ,  вычисляют открытые ключи <img width=«128» height=«26» src=«ref-1_301441352-307.coolpic» v:shapes="_x0000_i1071">;       <img width=«123» height=«23» src=«ref-1_301441659-304.coolpic» v:shapes="_x0000_i1072">;            <img width=«121» height=«23» src=«ref-1_301441963-306.coolpic» v:shapes="_x0000_i1073">;… и помещают их в защищенный от модификаций общедоступный справочник {Ya, Yb, Yc, ...}. (Рис.4).
<img width=«389» height=«144» src=«ref-1_301442269-1436.coolpic» v:shapes="_x0000_i1074">

Рис.4

 

Формальная запись протокола:

В: ДСЧ (В) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1075"> tb; <img width=«115» height=«23» src=«ref-1_301443897-307.coolpic» v:shapes="_x0000_i1076">;  [B
║A
║Z] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1077"> A

A: ДСЧ (A) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1078"> ta; <img width=«216» height=«23» src=«ref-1_301444589-419.coolpic» v:shapes="_x0000_i1079">;

<img width=«117» height=«23» src=«ref-1_301445008-297.coolpic» v:shapes="_x0000_i1080">; <img width=«135» height=«23» src=«ref-1_301445305-314.coolpic» v:shapes="_x0000_i1081">;

[A
║B
║U
║V] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1082">канал [<img width=«17» height=«23» src=«ref-1_301445812-204.coolpic» v:shapes="_x0000_i1083">
║<img width=«16» height=«23» src=«ref-1_301446016-197.coolpic» v:shapes="_x0000_i1084"> ║<img width=«20» height=«22» src=«ref-1_301446213-192.coolpic» v:shapes="_x0000_i1085">║<img width=«19» height=«22» src=«ref-1_301446405-200.coolpic» v:shapes="_x0000_i1086">] <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1087">B

В: <img width=«17» height=«23» src=«ref-1_301445812-204.coolpic» v:shapes="_x0000_i1088">=A(?); 
<img width=«16» height=«23» src=«ref-1_301446016-197.coolpic» v:shapes="_x0000_i1089">=B(?);<img width=«163» height=«23» src=«ref-1_301447199-362.coolpic» v:shapes="_x0000_i1090">; <img width=«244» height=«24» src=«ref-1_301447561-465.coolpic» v:shapes="_x0000_i1091">

Здесь знак “~” означает возможность искажения каналом или модификации противником, знак “ ­ ” означает возведение в степень, <img width=«23» height=«24» src=«ref-1_301448026-207.coolpic» v:shapes="_x0000_i1092">  — обратный к tbпо mod (p
-1), знак (?) после равенства означает, что проверяется выполнение равенства:  при невыполнении протокол разрывается, при выполнении осуществляется переход к следующей операции.

В результате ключ <img width=«29» height=«27» src=«ref-1_301448233-221.coolpic» v:shapes="_x0000_i1093"> при <img width=«19» height=«21» src=«ref-1_301448454-194.coolpic» v:shapes="_x0000_i1094"><img width=«16» height=«19» src=«ref-1_301448648-192.coolpic» v:shapes="_x0000_i1095"> U отличается от Kab, если выполняется проверка аутентичности <img width=«13» height=«25» src=«ref-1_301448840-169.coolpic» v:shapes="_x0000_i1096"><img width=«143» height=«25» src=«ref-1_301449009-335.coolpic» v:shapes="_x0000_i1097">. Отсюда следует:

Атака 1. Противник Еа, играющий роль пользователя А, подменяет в канале сообщение [A
║B
║U
║V]  на [A
║B
║<img width=«20» height=«22» src=«ref-1_301446213-192.coolpic» v:shapes="_x0000_i1098">
║<img width=«19» height=«22» src=«ref-1_301446405-200.coolpic» v:shapes="_x0000_i1099">] с условием <img width=«156» height=«25» src=«ref-1_301449736-327.coolpic» v:shapes="_x0000_i1100">. В результате пользователь В формирует ложный ключ <img width=«29» height=«27» src=«ref-1_301448233-221.coolpic» v:shapes="_x0000_i1101"><img width=«16» height=«19» src=«ref-1_301448648-192.coolpic» v:shapes="_x0000_i1102">Kab.

Атака 2. Противник Еb,  играющий  рольВ, посылаетА
число<img width=«44» height=«15» src=«ref-1_301450476-220.coolpic» v:shapes="_x0000_i1103">, на что тот по протоколу отвечает числами (U, V), где <img width=«319» height=«24» src=«ref-1_301450696-492.coolpic» v:shapes="_x0000_i1104"> В результате противник Е устанавливает с А ключ парной связи Kae, переданный по открытому каналу связи, причем А считает, что это ключ для связи с В.
    продолжение
--PAGE_BREAK--Протоколы с криптосистемой RSA
Предварительно все пользователи А, В, С, ...  сети связи генерируют личные модули na, nb, nc, ..., каждый из которых имеет структуру: n=pq произведения двух простых чисел p и q (na=pa<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1105">qa; nb=pb<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1106">qb;  nc=pc<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1107">qc; ... ),  выбранных надлежащим образом [ 2 ]. Затем каждый пользователь соответствующим образом выбирает пару чисел (e, d),  удовлетворяющих условию <img width=«145» height=«21» src=«ref-1_301451710-333.coolpic» v:shapes="_x0000_i1108">, где <img width=«164» height=«21» src=«ref-1_301452043-338.coolpic» v:shapes="_x0000_i1109"> Далее числа (n, e) в качестве открытого ключа отправляются по достоверному каналу в общедоступный справочник. Числа (p, q, <img width=«37» height=«21» src=«ref-1_301452381-229.coolpic» v:shapes="_x0000_i1110">, d) пользователи сохраняют в секрете.
Протокол шифрования и цифровой подписи по RSA
Данный протокол рекомендован МККТТ, рекомендация Х.509. Дефект протокола состоит в неправильном порядке операции шифрования и подписывания: правильно сначала подписать, затем шифровать. В формальной записи протокола применяются следующие обозначения:

М — передаваемое сообщение от А к В;

Сb — шифрованноеА сообщение М на ключеeb получателя В;

Сba — сообщение Сb, подписанное А на ключе da отправителя А.

<img width=«189» height=«22» src=«ref-1_301452610-390.coolpic» v:shapes="_x0000_i1111">   <img width=«211» height=«22» src=«ref-1_301453000-406.coolpic» v:shapes="_x0000_i1112"> 

<img width=«195» height=«22» src=«ref-1_301453406-401.coolpic» v:shapes="_x0000_i1113">    <img width=«165» height=«22» src=«ref-1_301453807-364.coolpic» v:shapes="_x0000_i1114">

Предполагается, что nb<na. Обоснование последних двух равенств состоит в следующих преобразованиях:

<img width=«468» height=«24» src=«ref-1_301454171-776.coolpic» v:shapes="_x0000_i1115"><img width=«468» height=«26» src=«ref-1_301454947-763.coolpic» v:shapes="_x0000_i1116">

Атака1. Некоторый пользователь Х (нарушитель) перехватывает сообщение <img width=«27» height=«23» src=«ref-1_301455710-213.coolpic» v:shapes="_x0000_i1117"> (Рис.5), снимает ЭЦП пользователя А, пользуясь открытым ключом (na, ea).
<img width=«475» height=«131» src=«ref-1_301455923-1833.coolpic» v:shapes="_x0000_i1118">


Рис.5


Полученное шифрованное сообщение Сb он подписывает на своем секретном ключе dx, тем самым присваивая себе авторство на сообщение М. Получив сообщение <img width=«172» height=«23» src=«ref-1_301457756-361.coolpic» v:shapes="_x0000_i1119">, пользователь В снимает подпись Х с помощью открытого ключа (nx, ex), расшифровывает на своем секретном ключе db и выделяет сообщение М, которое считает сообщением от Х, но не от А, если само сообщение М не содержит признаков А.

Замечание: если na=nb, то операции шифрования и подписывания становятся перестановочными, так что снятие ЭЦП становится возможным при любом порядке этих операций.
Протокол шифрования по RSA на общем модуле
Пусть сообщение М шифруется по криптосистеме RSA с общим модулем “n”. Пользователи А и В получают шифрованные сообщения <img width=«156» height=«22» src=«ref-1_301458117-350.coolpic» v:shapes="_x0000_i1120">, <img width=«160» height=«22» src=«ref-1_301458467-349.coolpic» v:shapes="_x0000_i1121">

Атака1. Противник Е перехватывает шифрованные сообщения Са и Сb. Зная открытые  ключи  ea и eb, противник    по алгоритму Эвклида находит числа x, y так, что x<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1122">ea + y<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1123">eb = 1 (с большой вероятностью числа ea и eb взаимно просты). Тогда     <img width=«490» height=«23» src=«ref-1_301459164-748.coolpic» v:shapes="_x0000_i1124">. В результате противник вычисляет сообщение М, зная только открытые ключи ea, eb  и модуль n, но не зная модуля <img width=«37» height=«21» src=«ref-1_301452381-229.coolpic» v:shapes="_x0000_i1125">, что равносильно знанию факторизации n=p<img width=«12» height=«12» src=«ref-1_301451188-174.coolpic» v:shapes="_x0000_i1126">q.
Протоколы с коммутативным алгоритмом шифрования
Алгоритм шифрования называется коммутативным, если результат последовательного шифрования сообщения М на ключах К1и К2 не зависит от порядка используемых ключей: К2{К1{M}}= =K1{K2{M}}, где K{M} — результат шифрования M на ключе К. Примерами коммутативного алгоритма шифрования являются алгоритм DH, алгоритм RSA при общем модуле, алгоритм гаммирования (сложения по модулю). Коммутативность алгоритма шифрования является здесь следствием коммутативности операций модульного умножения и сложения.

Коммутативный алгоритм шифрования привлекателен тем, что пользователям не нужно устанавливать общий ключ парной связи, а достаточно генерировать личные секретные ключи. Идея конфиденциальной связи без предварительной договоренности о ключе шифрования наиболее ярко демонстрируется примером Шамира (Рис.6).
    продолжение
--PAGE_BREAK--Трехшаговый протокол шифрования Шамира

<img width=«371» height=«131» src=«ref-1_301460315-1394.coolpic» v:shapes="_x0000_i1127">

Рис.6
Формальная запись протокола:

A: <img width=«13» height=«25» src=«ref-1_301448840-169.coolpic» v:shapes="_x0000_i1128">ДСЧ (А) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1129"> х;  М <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1130"> х <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1131"> В

В:    ДСЧ (В) <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1132"> y;  (М <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1133"> х) <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1134"> y <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1135"> A

A:   (М <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1136"> х <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1137"> y) <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1138"> x = M <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1139"> y <img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1140"> B

B:   (M <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1141">y) <img width=«20» height=«20» src=«ref-1_301462070-204.coolpic» v:shapes="_x0000_i1142">y = M

Атака 1. Противник Е перехватывает все три сообщения в канале связи и складывает их поmod2. В результате получается М в открытом виде.

Атака 2. Пользуясь отсутствием идентификации корреспондентов А и В, противник Е может сыграть роль В, разрушая конфиденциальность М, или сыграть роль А, навязывая ложное сообщение пользователю В.
Трехшаговый протокол с коммутативным шифрованием
В общем случае трехшаговый протокол шифрования Шамира имеет следующую формальную запись (Рис.7):

А:  Ka { M }<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1143">B

B: <img width=«136» height=«24» src=«ref-1_301464870-360.coolpic» v:shapes="_x0000_i1144">

A: <img width=«399» height=«24» src=«ref-1_301465230-672.coolpic» v:shapes="_x0000_i1145">


B: <img width=«133» height=«24» src=«ref-1_301465902-357.coolpic» v:shapes="_x0000_i1146">
<img width=«379» height=«112» src=«ref-1_301466259-1377.coolpic» v:shapes="_x0000_i1147">


Рис.7


Ведущий А протокола применяет сначала операцию шифрования на ключе Ка, затем операцию расшифрования с ключом <img width=«29» height=«24» src=«ref-1_301467636-225.coolpic» v:shapes="_x0000_i1148">;<img width=«13» height=«25» src=«ref-1_301448840-169.coolpic» v:shapes="_x0000_i1149">

Ведомый B применяет сначала операцию расшифрования с ключом К<img width=«17» height=«29» src=«ref-1_301468030-192.coolpic» v:shapes="_x0000_i1150">, затем операцию шифрования с ключом Кb. Предполагается, что для всякого М и К имеет место: К-1{K{M}}=K{K-1{M}}.

Атака 1.  Рефлексия

Противник Еb, играющий роль В, возвращает А его первое сообщение. Действуя по протоколу, А применяет к нему операцию <img width=«29» height=«24» src=«ref-1_301468222-223.coolpic» v:shapes="_x0000_i1151">, и в канале оказывается открытое сообщение М.

А:  <img width=«388» height=«22» src=«ref-1_301468445-620.coolpic» v:shapes="_x0000_i1152">

Атака 2. (Параллельный протокол)

Противник Еb возвращает А его первое сообщение не в качестве ответа, а как начало параллельного протокола с ведущим Еb и ведомым А. Предполагается, что при работе в сети такое возможно (Рис.8).
<img width=«443» height=«218» src=«ref-1_301469065-1307.coolpic» v:shapes="_x0000_i1153">


Рис.8

I протокол (А <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1154"> Еb )

II протокол (Еb  <img width=«24» height=«17» src=«ref-1_301428495-192.coolpic» v:shapes="_x0000_i1155"> А )

1.А: Ка{M}<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1156">Еb





1’. Еb: Ka{M}<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1157">A



2’. A: <img width=«33» height=«28» src=«ref-1_301471142-230.coolpic» v:shapes="_x0000_i1158">{Ka{M}}=M<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1159">Еb

2. Еb: <img width=«24» height=«22» src=«ref-1_301471565-210.coolpic» v:shapes="_x0000_i1160"><img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1161">A



3. A: <img width=«33» height=«28» src=«ref-1_301471142-230.coolpic» v:shapes="_x0000_i1162">{<img width=«24» height=«22» src=«ref-1_301471565-210.coolpic» v:shapes="_x0000_i1163">}<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1164">Еb





3’. Еb: <img width=«33» height=«28» src=«ref-1_301471142-230.coolpic» v:shapes="_x0000_i1165">{<img width=«24» height=«22» src=«ref-1_301471565-210.coolpic» v:shapes="_x0000_i1166">}<img width=«24» height=«17» src=«ref-1_301429011-193.coolpic» v:shapes="_x0000_i1167">A

4. A: Ка{<img width=«33» height=«28» src=«ref-1_301471142-230.coolpic» v:shapes="_x0000_i1168">{<img width=«24» height=«22» src=«ref-1_301471565-210.coolpic» v:shapes="_x0000_i1169">}}=<img width=«24» height=«22» src=«ref-1_301471565-210.coolpic» v:shapes="_x0000_i1170">





4’. ___________________



В результате противник Е получает сообщение М, предназначенное для В, а пользователь А получает ложное сообщение   <img width=«23» height=«19» src=«ref-1_301473884-191.coolpic» v:shapes="_x0000_i1171">, якобы от В.

Атака рефлексии и с параллельным протоколом являются сильным оружием противника, против которого трудно предложить простую защиту. Возможны также атаки с несколькими параллельными протоколами, в которых противник Е может играть одновременно несколько ролей: например, Ea, Eb и Es — роль сервера S.
    продолжение
--PAGE_BREAK--