Суб’єкт В має особистий ключ узгодження ключа hB в Н і відкритий ключ узгодження ключа Рв = F(hB, g).
Суб’єкт А має доступ до автентифікованої копії відкритого ключа узгодження ключа В — рв. Цього можна досягти з використанням механізму розділу 8.
А в
Конструювання ключа
(А1)
К
ТД1
Конструювання ключа
(А2)
І
КавІ
Рисунок 2 — Узгодження ключа, механізм 2
Конструювання маркера ключа (А1)
А випадково і таємно генерує г в Н, обчислює F(r, g) і надсилає до В маркер ключа
КТА1 = F(r, g) И Text.
Конструювання ключа (А2)
Додатково, А обчислює ключ, як
Кав = F(r, рв).
Конструювання ключа (81)
В виділяє F(r, g) з одержаного маркера КТД1 і обчислює розподілений таємний ключ
Кав = F(hB,F(r. g)).
Відповідно до вимоги 1 щодо F обидва обчислені значення КАВ є тотожні.
Примітка. Цей механізм узгодження ключа має такі властивості:
Число проходів: 1,
Автентифікація ключа; механізм забезпечує неявну автентифікацію ключа від В до А (6 є єдиним суб'єктом, крім А, який може обчислити розподілений таємний ключ).
Підтвердження ключа: механізм не реалізує підтвердження ключа.
Це механізм узгодження ключа внаслідок того, що встановлений ключ є односпрямованою функцією випадкового числа г, постаченого особистими ключами узгодження ключа суб’єктів А і б. Однак, внаслідок того, що суб'єкт А може знати відкритий ключ суб’єкта В перед тим, як обрати значення г, А може вибрати орієнтовно s бітів ключа, що встановлюється, за рахунок генерування 2s пробних значень для гза час від визначання відкритого ключа В до надсилання КТЛ1
Приклад: приклад цього механізму узгодження ключа (відомий, як узгодження ключа за ЕльГамаль) наведено в В.З.
Використання ключа: внаслідок того, що В одержує ключ КАВ від неавтентифікованого суб'єкта А, безпечне використання КЛв на стороні В обмежене функціями, які не вимагають довіри до автентичності А, такими як розшифровування і генерування кодів автентифікації повідомлень.
6.3 Узгодження ключа, механізм З
Цей механізм узгодження ключа за один прохід установлює розподілений таємний ключ між суб'єктами А і б із взаємною неявною автентифікацією ключа і автентифікацїєю суб’єкта А для Б. Повинні задовольнятися такі вимоги:
Суб’єкт А має асиметричну систему підпису (бд, І/Д
Суб’єкт В має доступ до автентифікованої копії відкритого перетворення верифікації VA. Це може бути досягнуто використанням механізмів розділу 8.
Суб’єкт В має систему узгодження ключа з ключами (Лд, рв).
Суб’єкт А має доступ до автентифікованої копії відкритого ключа узгодження ключів рв суб’єкта В. Це може бути досягнуто використанням механізмів розділу 8.
TVP: TVP повинен бути або позначкою часу, або порядковим номером. Якщо використовують позначку часу, необхідні надійні І синхронізовані годинники, якщо використовують порядковий номер, необхідні можливість ведення та верифікації двосторонніх лічильників.
Суб’єкти А і В повинні узгодити криптографічну контролювальну функцію f (аналогічну стандартизованій в ISO/IEC 9797) і спосіб включення КАв як ключа до цієї контролювальної функції.
Конструювання
маркера ключа
(Д1.1)
П
КТД1
ідпис маркера ключаК
КАв
онструювання ключа(S1)
Верифікація підпису
(81.2)
КАв
Рисунок 3 — Узгодження ключа, механізм З
Конструювання ключа (А1.1)
А випадково і таємно генерує гі обчислює F(r, д). А обчислює розподілений таємний ключ як
КАВ= F(r, рв).
Використовуючи розподілений таємний ключ КАВ, А обчислює криптографічне контролювальне значення об’єднанням розрізнювального ідентифікатора посилана А і порядкового номера або позначки часу TVP.
Конструювання маркера ключа (А1.2)
А підписує криптографічне контролювальне значення з використанням свого приватного перетворення підписування 8д. Потім А формує маркер ключа, який складається з розрізнюваль-
ного ідентифікатора посилана А, вхідних даних для ключа F(r, д), TVP, підписаного криптографічного контролювального значення і деяких необов’язкових даних
KT41= ^||F(r,g)[|TVP||SA(fKABHI|rVP))|[Textf. ’
Надсилає його до В.
Конструювання ключа (81.1)
В виділяє F(r, д) з одержаного маркера ключа і обчислює розподілений таємний ключ із використанням свого особистого ключа узгодження ключа he,
Кав = F(hBlF(r, д)).
Використовуючи розподілений таємний ключ Кав, 8 обчислює криптографічне контролювальне значення на розрізнювальному ідентифікаторі посилана А і TVP.
Верифікація підпису (81.2)
В використовує відкрите перетворення верифікації посилана VA для верифікації підпису А, а з тим цілісність і походження одержаного маркера КТді. Потім В підтверджує неповторюваність у часі маркера (оглядом TVP).
Примітка. Цей механізм узгодження ключа має такі властивості:
Число проходів: 1.
Автентифікація ключа: цей механізм забезпечує явну автентифікацію ключа від А до В і неявну автентифікацію ключа від В до А,
Підтвердження ключа: цей механізм забезпечує підтвердження ключа від А до В.
Це механізм узгодження ключа внаслідок того, що встановлений ключ є односпрямованою функцією випадкового числа г, постаченого особистими ключами узгодження ключа суб'єктів А і В. Однак, внаслідок того, що суб’єкт А може знати відкритий ключ суб’єкта В перед тим, як обрати значення г, А може вибрати орієнтовно s бітів ключа, що встановлюється, за рахунок генерування 2s пробних значень для г за час від визначання відкритого ключа В до надсилання КТЛ1.
TUP: забезпечує автентифікацію суб'єкта А для В і запобігає повторенню маркера ключа.
Приклад: приклад цього механізму узгодження ключа (відомий як узгодження ключа за Ніберг-Рюппелем) наведений в В.4.
Сертифікати відкритого ключа: якщо Textl використовують для пересилання сертифіката відкритого ключа А, то вимога 2 на початку цього розділу може бути послаблена до вимоги, щоб В володів автентифікованою копією відкритого ключа верифікації СА.
Конструювання
маркера ключа
(А1)
КТЛ1
кте1
Конструювання
маркера ключа
(В1)
Рисунок 4 — Узгодження ключа, механізм 4
Узгодження ключа, механізм 4
Цей механізм узгодження ключа за два проходи встановлює розподілений таємний ключ між суб’єктами А і В зі спільним контролем ключа без попереднього обміну ключовою інформацією. Механізм не забезпечує ні автентифікації суб’єкта, ні автентифікації ключа.
Конструювання маркера ключа (А1)
А випадково і таємно генерує гА в Н, обчислює F(rA, д), конструює маркер ключа
КТді = Р(гАгg)Text1
і надсилає його до В.
Конструювання маркера ключа (S1)
В випадково і таємно генерує гв в Н, обчислює F(rB, д), конструює маркер ключа
КТе1 = F(rB, д) Text2
і надсилає його до А.
Конструювання ключа (А2)
А виділяє F(rB, д) з одержаного маркера КТЄі і обчислює розподілений таємний ключ
КТдв = F(rA,F(rB, д)).
Конструювання ключа (В2)
В виділяє Я(гд, д) з одержаного маркера КТЛ1 і обчислює розподілений таємний ключ
КТдв = F(rB, F(rA, g)).
Примітка. Цей механізм узгодження ключа має такі властивості:
Число проходів: 2.
Автентифікація ключа: цей механізм не забезпечує автентифікації ключа. Однак, цей механізм може бути корисним у середовищі, де автентичність маркера ключа верифікують із використанням інших засобів. Для прикладу, ґеш-кодом маркера ключа суб’єкти можуть обмінятися між собою з використанням другого каналу взаємодії. Дивись також механізм передавання відкритого ключа 2.
Підтвердження ключа: механізм не забезпечує підтвердження ключа.
Це механізм узгодження ключа внаслідок того, що встановлений ключ є односпрямованою функцією випадкових чисел гд і гв, постачених, відповідно, А і В. Однак, внаслідок того, що суб'єкт В може знати F(rA, д) перед тим, як обрати значення г8, суб'єкт В може обрати орієнтовно s бітів ключа, що встановлюється, за рахунок генерації 2’ пробних значень гв за час від одержання КТЛ1 до надсилання КТВ1.
Приклад: приклад цього механізму (відомий як узгодження ключа за Діффі-Гелманом) подано в В.5.
Узгодження ключа, механізм 5
Цей механізм узгодження ключа за два проходи встановлює розподілений таємний ключ між суб’єктами А і В із неявною взаємною автентифікацією ключа і спільним контролем ключа. Повинні задовольнятися такі вимоги:
Кожен суб’єкт X має особистий ключ узгодження ключа hx в Н і відкритий ключ узгодження ключа рх= F(hx, д).
Кожен суб’єкт має доступ до автентифікованої копії відкритого ключа узгодження ключа іншого суб’єкта. Цього можна досягти використанням механізмів розділу 8.
Обидва суб’єкти повинні узгодити спільну односпрямовану функцію co.
А в
КТді
КГВ1
Конструювання маркера ключа (Д1)
Конструювання маркера ключа (61)
Рисунок 5 — Узгодження ключа, механізм 5
Конструювання маркера ключа (А1)
А випадково і таємно генерує гА в Н, обчислює F(rA, д) і надсилає до В маркер ключа КТЛ1 = F(rA, g)Text1.
Конструювання маркера ключа (В1)
В випадково і таємно генерує гв в Н, обчислює F(rB, д) і надсилає до А маркер ключа KTS1 = F(rB, д)||7ехГ2.Конструювання ключа (В2)
В виділяє 5(гЛд) з одержаного маркера ключа і обчислює розподілений таємний ключ як
Кав = ^F(hBfF(rA,g))tF(rB,pA)), де to є односпрямованою функцією.
Конструювання ключа (Д2)
А виділяє F(rB, д) з одержаного маркера ключа і обчислює розподілений таємний ключ як
Кав = рв), F(hA, F(rB, д)))>
де to є односпрямованою функцією.
Примітка. Цей механізм узгодження ключа має такі властивості:
Число проходів: 2.
Аетентифікація ключа: цей механізм забезпечує взаємну неявну автентифікацію ключа. Якщо поле даних Totxt2 містить криптографічне контролювальне значення (на відомих даних), обчислене з використанням ключа КАВ, то механізм забезпечує явну автентифікацію ключа від В до А.
Підтвердження ключа: якщо поле даних Tetxt2 містить криптографічне контролювальне значення (на відомих даних), обчислене з використанням ключа КАд, то цей механізм забезпечує підтвердження ключа від В до А.
Це механізм узгодження ключа внаслідок того, що встановлений ключ є односпрямованою функцією випадкових чисел гА і гв, постачених, відповідно, А і В. Однак, унаслідок того, що суб'єкт В може знати F{rAtд) перед тим, як обрати значення ге, суб'єкт В може обрати орієнтовно з бітів ключа, що встановлюється, за рахунок генерації 2s пробних значень ге за час від одержання КТЛ1 до надсилання КТВ1.
Приклад: приклад цього механізму погодження ключа (відомий як схема погодження ключа Мацумото Такашіма-імаі А(0)) наведений в В.6. Інший приклад відомий як протокол Госса.
Функція ш повинна приховувати свої вхідні дані в тому сенсі, що за значенням функції і одного з вхідних даних неможливо обчислити відповідну частину інших вхідних даних. Цього можна досягти, використовуючи ґеш-функцію з ISO/IEC 10118 (нема потреби в колізійно-стійкій ґеш-функції).
Сертифікати відкритих ключів: якщо Tetxtl і Tetxt2 містять сертифікати відкритих ключів узгодження ключа, відповідно, суб'єктів А або В, вимога 2 на початку цього розділу може бути замінена вимогою, за якою кожен суб'єкт володіє автентифікованою копією відкритого ключа верифікації СА.
6.6 Узгодження ключа, механізм 6
Цей механізм узгодження ключа за два проходи встановлює розподілений таємний ключ між суб’єктами А і В з неявною взаємною автентифікацією ключа і спільним контролем ключа. Він оснований на використанні як асиметричного шифрування, так і системи підпису. Повинні задовольнятися такі вимоги: