Быстрая схема аутентификации и обмена ключами, устойчивая к DDoS-атаке

Последним рассмотренным протоколом будет Woo-Lam в этом протоколе используется криптография с открытыми ключами [1]:

Алиса посылает Тренту сообщение, состоящее из ее имени и имени Боба.

А, В

Трент посылает Алисе открытый ключ Боба, К_в, подписанный закрытым ключом Трента, Т.

S_T(K_B)

Алиса проверяет подпись Трента. Затем она посылает Бобу свое имя и случайное число, шифрованное открытым ключом Боба.

A, E_B(R_B)

Боб посылает Тренту свое имя, имя Алисы и случайное число Алисы, шифрованное открытым ключом Трента, К_т.

А, В, Е_Кт (Ra)

Трент посылает Бобу открытый ключ Алисы, К_А, подписанный закрытым ключом Трента. Он также посылает Бобу случайное число Алисы, случайный сеансовый ключ, имена Алисы и Боба, подписав все это закрытым ключом Трента и зашифровав открытым ключом Боба.

S_T(K_A), Е_к (S_t (Ra, К А, В))

Боб проверяет подписи Трента. Затем он посылает Алисе вторую часть сообщения Трента, полученного на этапе (5), и новое случайное число, зашифровав все открытым ключом Алисы.

E_K (S_T(R_A,K,A,B), R_B)

Алиса проверяет подпись Трента и свое случайное число. Затем она посылает Бобу второе случайное число, шифрованное сеансовым ключом.

E_k(Rb)

Боб расшифровывает свое случайное число и проверяет, что оно не изменилось.

Рисунок 3.5 Woo-Lam

Вся процедура аутентификации и обмена сеансовыми ключами в предлагаемой схеме состоит из отправки клиентом (C) серверу (S) одного-единственного пакета, составленного из четырех полей P1, P2, P3 и P4. После анализа этого пакета сервер либо принимает решение об установлении связи с клиентом, в случае положительной аутентификации, либо просто игнорирует данное соединение, не загружая свой канал связи лишним исходящим трафиком. Это делается возможным благодаря использованию возможности многозадачных операционных систем, применяемых на серверах, устанавливать различные приоритеты процессам, порождаемым для обслуживания запросов на установление соединений. При этом авторизованные соединения получают высокий уровень приоритета, а неавторизованные соединения имеют настолько низкий приоритет, что даже большое количество одновременно рассматриваемых запросов не может замедлить скорость обслуживания высокоприоритетных соединений. Большое количество ожидающих соединений вызывает только расход оперативной памяти, но с удешевлением микросхем оперативной памяти это не представляет проблемы.

C->S: P1=E_Pks(K1, K2, IDc); P2=E_K1(E _Skc(hash(P1)));

P3=IDauthkey; P4=MAC_authkey (P1, P2);

S->C: E_K2(“Hello, client”, MAC _K2 (“Hello, client”));

Поле P1 представляет собой два сеансовых ключа и идентификатор ключа клиента, зашифрованные на публичном ключе сервера Pks. Аутентификация сервера будет осуществлена тем фактом, что сервер смог расшифровать это поле на своём секретном ключе Sks, получить сеансовые ключи и ответить клиенту подтверждающим сообщением. Идентификатор ключа клиента IDc рекомендуется вычислять как хэш от соответствующего публичного ключа клиента, таким образом, совместить функции идентификатора клиента и «отпечатка» (fingerprint) публичного ключа с целью защиты от подмены идентификатора или открытого ключа. Поле P2 представляет собой цифровую подпись P1, вычисленную на секретном ключе клиента Skc. Аутентификация клиента осуществляется расшифровкой поля P2 на публичном ключе клиента Pkc, хранящемся на сервере в базе публичных ключей и их сертификатов, и сравнением полученного результата с вычисленным хэшем от поля P1. С целью защиты конфиденциальности клиента, это поле зашифровано на сеансовом ключе K1. Если бы это поле не было зашифровано, существовала бы возможность раскрыть инкогнито клиента, просто перебрав публичные ключи всех клиентов. Поля P3 и P4 предназначены для быстрой аутентификации сообщения, чтобы быстро различать пакеты, сформированные добропорядочными клиентами. Для этого клиенты в ходе своего предыдущего сеанса согласовывают с сервером ключ аутентификации сообщения authkey и соответствующий ему идентификатор IDauthkey. Они должны быть сформированы таким образом, чтобы используя IDaythkey, содержащийся в поле P3 в открытом виде, нельзя было определить authkey, идентификатор клиента, сеансовые ключи или какую-то другую информацию. Допустимо вычислять пару IDauthkey и authkey, например, как криптостойкий хэш от сеансовых ключей K1 и K2. Сервер и клиент запоминают пару (IDauthkey, authkey) с тем, чтобы использовать её при следующем сеансе связи. Если в поле P3 был указан правильный IDauthkey, сервер использует соответствующий ему authkey и вычисляет код аутентификации сообщения (Message Authentication Code, MAC). Если вычисленный код совпадает с указанным в поле P4, это означает, что данное сообщение было сформировано добропорядочным клиентом, следовательно, можно приступать к относительно трудоёмким вычислениям на секретном ключе с высоким приоритетом процесса. Поскольку код аутентификации сообщения не несет криптографической нагрузки, он не обязан вычисляться слишком стойким способом, важно, чтобы его вычисление осуществлялось быстрым алгоритмом, возможно, специально облегченным для этой цели. Стойкость MAC должна быть достаточна, чтобы атакующий, перехвативший пакет клиента, не мог вычислить authkey. Пара IDauthkey и authkey используется только один раз - при успешной проверке аутентификации сообщения эта пара удаляется и вместо неё генерируется новая пара, таким образом, предотвращая многократное использование каким-либо способом полученной от легального пользователя пары IDauthkey и authkey.

Атакующие не имеют ранее согласованной пары IDauthkey и authkey, следовательно, они не могут должным образом заполнить поля P3 и P4. Однако такой пары не имеют и клиенты, первый раз устанавливающие соединение с сервером, или по каким-либо причинам утратившие пару IDauthkey и authkey. Следовательно, им придётся устанавливать соединение с низким приоритетом, это может занять довольно много времени, в зависимости от наличия других соединений, осуществляемых с сервером в данный момент. Это очевидное неудобство предлагаемой схемы.

Для защиты от случайного обнаружения атакующими действующей пары IDauthkey и authkey, сервер, получив корректные поля P3 и P4 и проведя ускоренную процедуру авторизации с высоким приоритетом, в случае отрицательного результата разрывает соединение не сразу же, а спустя такое время, за которое он ответил бы (разрывом соединения) в случае недействительных P3 и P4. Таким образом, атакующие лишаются возможности случайно обнаружить IDauthkey и authkey.

Предлагаемая схема позволяет создавать защиту от SYN-атаки, основанной на переполнении таблицы TCB (transmission control block)[6], возникающей при используемой атакующими тактики посылки многочисленных запросов на установление соединения с установленным флагом SYN[6]. Использование SYN-cookies также не является решением, поскольку, если алгоритм вычисления cookies либо является слабым, и его могут незамедлительно использовать атакующие, либо он является криптографически стойким, но тогда есть возможность перегрузить вычислениями сервер. Для борьбы против SYN-атаки можно применить технологию «обратного вызова» (callback). Эта технология использовалась, например, Интернет-провайдерами для дополнительной аутентификации клиентов.

Для защиты от SYN-атаки может использоваться следующая модификация предлагаемой схемы. Сервер вообще не имеет открытых портов TCP, запросы от клиентов он принимает по UDP. Клиент определяет номер порта, на котором он будет ожидать входящее соединения от сервера. Свой адрес и выбранный номер порта он сообщает серверу вместе со своим идентификатором и сеансовыми ключами в поле P1. Должным образом сформированное сообщение, содержащее поля P1, P2, P3 и P4, он посылает серверу по протоколу UDP. После проверки на основе (IDauthkey, authkey) сервер помещает пакет в очередь на обслуживание либо с высоким приоритетом, либо с низким, в зависимости от результата проверки. Сервер, расшифровав часть P1 сообщения, извлекает из нее IP-адрес клиента и номер порта, на котором клиент ожидает входящего соединения от сервера, и по которому сервер устанавливает соединение с клиентом по протоколу TCP, используя сеансовые ключи, переданные клиентом. Таким образом, сервер может просто игнорировать все входящие пакеты с флагом SYN [6], поскольку он таких пакетов вообще не ждёт. Практическому применению этой технологии несколько мешает широкое распространение «маскарада адресов», вызванного дефицитом адресного пространства IPv4, а также применение клиентами межсетевых экранов. Впрочем, в этом случае клиент должен использовать посредника (proxy), установленного на корпоративном межсетевом экране (firewall, брандмауэр), либо должным образом сконфигурированную политику безопасности на сетевом экране.

Для защиты от атаки с повтором трафика («replay-атака»), сервер может запоминает в своей базе данных все ранее использованные сеансовые ключи. Если при расшифровке поля P1 было обнаружено, что хотя бы один из ключей был ранее использован - такое сообщение отвергается и соединение не устанавливается. Либо это replay-атака, либо просто ключи были неудачно сформированы, впрочем, вероятность этого события при достаточной длине ключа пренебрежимо мала. Для защиты в случае возможной утечки информации из этой базы данных, сервер хранит не целые ключи K1 и K2, а только половину бит от них. Если бы сервер хранил у себя в базе данных все ранее использованные ключи целыми, то утечка информации из этой базы данных скомпрометировала бы все сеансы связи с данным сервером. Поскольку сервер хранит только половину ключа, то при соответствующем выборе длины ключа, утечка этих половинок никак не ослабила бы систему, но хранение только половины ключа делает маловероятным случайное совпадение двух половинок ключей. В настоящее время безопасной считается длина ключа 128 бит, следовательно, длину сеансовых ключей K1 и K2 следует выбрать по 256 бит, соответственно, вероятность случайного совпадения ключей составляет всего лишь 2^_128.

Запоминание ключей в базе данных незначительно тормозит работу сервера, поскольку время поиска с включением в базу данных, построенную как АВЛ-дерево, растет всего лишь логарифмически с ростом размера базы данных [7]. Сам же размер базы данных тоже не является существенной трудностью, учитывая прогресс в увеличении ёмкости и производительности дисковых накопителей.

После успешной проверки сервером полученного пакета, сервер устанавливает соединение с клиентом и сообщает клиенту об успешном завершении процедуры аутентификации, используя сообщение предопределённого вида, зашифрованное на сеансовом ключе. В дальнейшем весь обмен между клиентом и сервером осуществляется в зашифрованном виде с использованием быстрых симметричных алгоритмов - либо блочных в режиме сцепления блоков, либо специализированных поточных. Для защиты от искажения данных необходимо использование кодов аутентификации сообщения (MAC).

5. ФОРМИРОВАНИЕ ТРЕБОВАНИЙ К ПО

Для решения основной задачи дипломного проекта которая заключалась в реализации и исследовании описанной в главе 4 схемы необходимо разработать клиент-серверное приложение с помощью которого можно было бы проверить как поведет себя протокол в реальных условиях. Для полноценного теста необходимо использовать вычисления с большими числами, симметричные и ассиметричные методы шифрования а также криптостойкую хеш функцию. В результате были разработаны клиент и сервер в полной мере реализующие данный протокол и взаимодействующие через стек протоколов TCP\IP. Как клиент так и сервер реализованы для операционной системы Windows XP. Далее в этой главе приведем основные задачи, которые должны реализовывать клиент и сервер. Подробное рассмотрение и реализация этих задач будет рассмотренная в следующих главах.

5.2 Требования к серверу