Кожен суб’єкт X має асиметричну систему підпису (Sx, Vx).
Кожен суб’єкт X має асиметричну систему шифрування (Ех, Dx).
Кожен суб’єкт X має доступ до автентифікованої копії відкритого перетворення верифікації іншого суб’єкта. Цього можна досягти використанням механізмів розділу 8.
Кожен суб’єкт X має доступ до автентифікованої копії відкритого перетворення зашифровування іншого суб’єкта. Цього можна досягти використанням механізмів розділу 8.
Конструювання маркера ключа (А1)
А випадково генерує гА, конструює маркер ключа
КТЛ1 = rAText1
і надсилає його до В.
Зашифровування блока ключа (В1.1)
В отримав ключ К і хоче переслати його надійно до А. В конструює блок, який містить його власний розрізнювальний ідентифікатор В, ключ К і необов’язкове поле даних Text2, і зашифровує блок із використанням відкритого перетворення зашифровування ЕА одержувача
BE, = EA(8||Ks||7exf2).
Конструювання маркера ключа (81.2)
В випадково генерує гв і конструює блок даних, який містить гв, гА, тотожність одержувача А, зашифрований блок BE,, і деяке необов’язкове поле даних ТехіЗ. В підписує блок із використанням свого приватного перетворення підписування Ss і надсилає до А маркер ключа
КТе1 = SB(rB||rA|| А|| ВЕ,||ТехґЗ)||Техї4.
Верифікація маркера ключа (А2.1)
А верифікує підпис суб’єкта В на маркері ключа КТВ, з використанням відкритого перетворення верифікації VB суб’єкта В, контролює розрізнювальний ідентифікатор А і контролює узгодженість одержаного значення гА з випадковим числом, надісланим на кроці (А1).
Розшифровування блока ключа (А2.2)
А розшифровує зашифрований блок BE, із використанням свого приватного перетворення розшифровування DA і контролює розрізнювальний ідентифікатор В. Якщо всі перевірки успішні, А приймає ключ Кв.
Зашифровування блока ключа (А2.3)
Потім А конструює блок даних, який містить його власний розрізнювальний ідентифікатор А, його власний ключ КА і деяке необов’язкове поле даних Texts, та зашифровує блок із використанням відкритого перетворення зашифровування Ев
ВЕ2 = ЕВ(А||М Text5).
Конструювання маркера ключа (А2.4)
Потім А конструює блок даних, який містить випадкове число гА, випадкове число гв, розрізнювальний ідентифікатор одержувача В, зашифрований блок ключа ВЕ2 і деяке необов’язкове Texts. А підписує блок даних із використанням свого приватного перетворення підпису SA і надсилає до В маркер ключа
КТД2 = SA(rA||rB||B||BE2|| Text6)Text7.
Верифікація маркера ключа (82.1)
В верифікує підпис суб’єкта А на маркері ключа КТД2 з використанням його відкритого перетворення верифікації VA, контролює розрізнювальний ідентифікатор В і контролює узгодженість одержаного значення гв із випадковим числом, надісланим на кроці (81.2). Крім того, В контролює, що одержане значення гА узгоджується з розміщеним у КТД,.
Розшифровування блока ключа (82.2)
В розшифровує зашифрований блок ВЕ2 з використанням свого приватного перетворення розшифровування DB і контролює розрізнювальний ідентифікатор А. Якщо всі перевірки успішні, В приймає ключ КА.
Якщо потрібне лише одностороннє передавання, то відповідно BE, або ВЕ2 може бути опущений.
Примітка. Цей механізм передавання ключа має такі властивості:
Число проходів: 3.
Автентифікація ключа і суб'єкта: цей механізм забезпечує взаємну автентифікацію суб'єктів, неявну автентифікацію ключа КА від В до А і неявну автентифікацію ключа Кв від А до В.
Підтвердження ключа: цей механізм забезпечує підтвердження ключа від посилача до одержувача для обох ключів Кл і К8. Більше того, якщо А містить криптографічне контролювальне значення для Кв у полі даних Text6 в КТД2, то механізм забезпечує взаємне підтвердження ключа по відношенню до Кв.Керування ключем: А може обрати ключ КА, бо він є суб’єктом-автором. Аналогічно В може обрати ключ Кв. Сумісне керування ключем може бути досягнуте кожним суб’єктом комбінуванням двох ключів КА і Кв на обох сторонах для формування розподіленого таємного ключа КАВ. Однак, комбінована функція повинна бути односпрямованою, інакше А може обрати розподілений таємний ключ. Таким чином, цей механізм може бути класифікований як механізм узгодження ключа.
Стандарти: задовольняє ISO/IEC 9798-3. Маркери КТД1, КТВ1 і КТД2сумісні з маркерйми, які надсилають у трипрохідному механізмі автентифікації, наведеному в 5.2.2 ISO/IEC 9798-3. Другий маркер КТаі пристосовує пересилання ключа Кв: Text2 повинен бути замінений на ВЕі||7ех/3. Третій маркер пристосовує пересилання ключа КА: Text4 повинен бути замінений на ВЕ2||Text6. Третій маркер може також пристосувати пересилання криптографічного контролювального значення в Text6.
Сертифікати відкритих ключів: якщо кожне із полів даних Textl і Text4 (або Text7 і Text4) містять сертифікати відкритих ключів суб'єктів А і В, відповідно, то вимоги 3 і 4,на початку цього розділу можуть бути послаблені до вимоги, щоб усі суб’єкти володіли автентифікованою копією відкритого ключа верифікації суб’єкта СА.
Перетворення підпису: якщо використовують механізм підписування з ґешуванням текста, то, необов’язково, випадкове число гА не повинне надсилатись у маркері ключа КТа). Аналогічно ні гА, ні гв не повинні надсилатися в маркері ключа КТД2 Однак, треба потурбуватися, щоб випадкові числа були включені в обчислення відповідних підписів.
7.6 Передавання ключа, механізм 6
Цей механізм передавання ключа пересилає за три проходи два таємних ключа: один від А до 8, другий від В до А. Крім того, механізм забезпечує взаємну автентифікацію суб’єктів і взаємне підтвердження їхніх відповідних ключів. Цей механізм базований на таких вимогах:
Кожен суб’єкт X має асиметричну систему шифрування (Ех, Dx).
Кожен суб’єкт має доступ до автентифікованої копії відкритого перетворення зашифровування іншого суб’єкта. Цього можна досягти використанням механізмів розділу 8.
Рисунок 13 — Передавання ключа, механізм 6
Конструювання маркера ключа (А1)
А отримав ключ КА і хоче його надійно переслати до В. А обирає випадкове число гА і конструює блок даних ключа, який складається з його розрізнювального ідентифікатора А, ключа КА числа гА і необов’язкового поля даних Textl. Потім А зашифровує блок ключа з використанням відкритого перетворення зашифровування Ев суб’єкта В, таким чином виробляючи зашифрований блок даних
ВЕї = ЕВ(А И КА И гА И Textl).
А конструює маркер КТД1, який складається з зашифрованого блока даних і деякого необов’язкового поля даних Text2
КТД1 = BEi||7exf2.
А надсилає маркер до В.
Конструювання маркера ключа (81)
В виділяє зашифрований блок ключа ВЕі з одержаного маркера ключа КТА1 і розшифровує його з використанням свого приватного перетворення розшифрування DB. Потім В перевіряє тотожність посилана А.
В отримав ключ КА і хоче його надійно переслати до А. В обирає випадкове число геі конструює блок даних ключа, який складається з розрізнювального ідентифікатора В, ключа Кв, випадкового числа гв, випадкового числа гд(яке було виділене із зашифрованого блока) і необов’язкового поля даних Text3. Потім В зашифровує блок ключа з використанням відкритого перетворення зашифровування ЕА суб’єкта А, таким чином виробляючи зашифрований блок даних
ВЕ2 = Еа(В И Кв И rA И гв ЦТехїЗ).
Потім В конструює маркер ключа КТ0і, який містить зашифрований блок даних ВЕ2 і деяке необов'язкове поле даних Text4,
КТЄі = ВЕ2 И Text4.
В надсилає маркер до А.
Підтвердження ключа і суб'єкта (А2.1)
А виділяє зашифрований блок ключа ВЕ2 з одержаного маркера ключа КТ01 і розшифровує його з використанням свого приватного перетворення розшифровування DA. Потім А контролює достовірність маркера ключа, порівнянням випадкового числа гА з випадковим числом гА, яке містилось у зашифрованому блоці ВЕ2. Якщо верифікація успішна, А автентифікував В і в той же час отримав підтвердження, що КА успішно досяг суб’єкта В.
Відповідь маркером ключа (А2.2)
А виділяє випадкове число гв із зашифрованого блока ключа і конструює маркер ключа КТЛ2, який складається з випадкового числа гв і необов'язкового поля даних Text5
КТА2 = rBText5.
А надсилає маркер до В.
Підтвердження ключа І суб’єкта (82)
В верифікує, що відповідь гв, виділене з зашифрованого блока КТЛ2, узгоджується з випадковим числом гВі надісланим у зашифрованій формі в КТЛ2. Якщо верифікація успішна, В автентифікував А і в той же час отримав підтвердження, що Кв досягнув суб’єкта А в цілості.
Примітка. Цей механізм передавання ключа має такі властивості:
Число проходів: 3.
Автентифікація суб’єкта: цей механізм забезпечує взаємну автентифікацію суб'єктів, неявну автентифікацію ключа від В до А І неявну автентифікацію ключа КЁ від А до В.
Підтвердження ключа: цей механізм забезпечує взаємне підтвердження ключа.
Керування ключем: А може обрати ключ Кд, бо він є суб’єктом-автором. Аналогічно В може обрати ключ К3. Сумісне керування ключем може бути досягнуте кожним суб’єктом комбінуванням двох ключів КА і Кв на обох сторонах для формування розподіленого таємного ключа КАВ. Однак, комбінована функція повинна бути односпрямованою, інакше В може обрати розподілений таємний ключ. Таким чином, цей механізм може бути класифікований як механізм узгодження ключа.
Використання ключа: цей механізм використовує асиметричний метод для взаємного пересилання двох таємних ключів КА від А до В і К3 від В до А. Наступне відокремлення криптографічної функції може бути виведене з механізму: А використовує свій ключ КА для зашифровування повідомлень для В і верифікації кодів автентифікації від В. В, у свою чергу, використовує одержаний ключ КА для розшифровування повідомлень від А і генерування кодів автентифікації для А. Криптографічні функції Кв можуть бути відокремленні аналогічним чином. Таким чином асиметрична основа механізму передавання ключа може бути поширена на використання таємних ключів.
Приклад: цей механізм виведений з трипрохідного протоколу, відомого як COMSET (див. Бібліографію, автор Brendt тощо),
Підґрунтя: цей механізм оснований на методі нульового знання. З виконання механізму жоден із суб'єктів не дізнається нічого, що він не міг би обчислити сам.
ПЕРЕДАВАННЯ ВІДКРИТОГО КЛЮЧА
У цьому розділі описано механізми керування ключами, які роблять відкриті ключі суб'єктів доступними для інших суб’єктів з їх автентифікацією. Автентифіковане розподілення відкритих ключів є суттєвою вимогою безпеки. Це автентифіковане розподілення може бути досягнуто різними шляхами:
Розподіленням відкритих ключів без третьої довірчої сторони:
Розподіленням відкритих ключів із залученням третьої довірчої сторони, такої як повноважний сертифікатор.
Відкритий ключ суб’єкта А є частиною інформації щодо відкритого ключа А. Інформація щодо відкритого ключа містить щонайменше розрізнювальний ідентифікатор А і відкритий ключ А.
Розподілення відкритих ключів без третьої довірчої сторони
У цьому розділі описано механізми, які забезпечують автентифіковане розподілення відкритих ключів без залучення третьої довірчої сторони.
Розподілення відкритих ключів, механізм 1
Якщо А має доступ до захищеного каналу до В (тобто каналу, який забезпечує автентифіка- цію походження даних і цілісність даних) такого, як кур’єр, реєстровна пошта тощо, то А може безпосередньо передати свою інформацію щодо відкритого ключа захищеним каналом до В. Це найпростіша форма передавання відкритого ключа. Повинні задовольнятися такі вимоги: