Соглашение о ключах, подтвержденное паролем

В криптографии метод соглашения о ключах с аутентификацией паролем (PAK) — это интерактивный метод, позволяющий двум или более сторонам установить криптографические ключи на основе знания пароля одной или несколькими сторонами.

Важным свойством является то, что перехватчик или посредник не могут получить достаточно информации, чтобы иметь возможность подобрать пароль методом перебора без дальнейшего взаимодействия со сторонами для каждого (несколько) попыток. Это означает, что надежную безопасность можно обеспечить, используя слабые пароли.

Соглашение о ключах, проверяемых паролем, обычно включает в себя такие методы, как:

• Сбалансированный обмен ключами с аутентификацией по паролю
• Расширенный обмен ключами с аутентификацией по паролю
• Получение ключа с аутентификацией паролем
• Многосерверные методы
• Многопартийные методы

В наиболее строгих моделях безопасности, основанных только на пароле, пользователю метода не требуется запоминать какие-либо секретные или общедоступные данные , кроме пароля.

Обмен ключами с аутентификацией по паролю (PAKE) — это метод, при котором две или более стороны, основываясь только на их знании общего пароля, ^[1] установить криптографический ключ с помощью обмена сообщениями, чтобы неавторизованная сторона (тот, кто контролирует канал связи, но не владеет паролем) не могла участвовать в этом методе и была максимально ограничена от подбора пароля методом перебора. (Оптимальный случай дает ровно одно предположение за один сеанс обмена.) Две формы PAKE — это сбалансированные и расширенные методы. ^[1]

Сбалансированный PAKE предполагает, что две стороны в ситуации клиент-клиент или клиент-сервер используют один и тот же секретный пароль для согласования и аутентификации общего ключа. ^[1] Примеры:

• Зашифрованный обмен ключами (EKE)
• ПАК и ППК ^[2]
• SPEKE (Простой экспоненциальный обмен ключами для паролей)
• Протокол безопасного удаленного пароля на основе эллиптической кривой (EC-SRP или SRP5) ^[3] Существует бесплатная реализация карты Java. ^[4]
• Стрекоза — стандарт IEEE 802.11-2012, RFC 5931, RFC 6617.
• CPace ^[5]
• СПАК1 и СПАК2 ^{[6] [7]}
• СЕСПАК – RFC 8133
• J-PAKE (обмен ключами с аутентификацией паролем путем жонглирования) – ISO/IEC 11770-4 (2017), RFC 8236
• МСЭ-Т Рекомендация X.1035
• «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» ^[8]

Расширенный PAKE — это вариант, применимый к сценариям клиент/сервер, в которых сервер не хранит данные, эквивалентные паролю. Это означает, что злоумышленник, укравший данные сервера, по-прежнему не сможет замаскироваться под клиента, если сначала не выполнит перебор пароля.Некоторые расширенные системы PAKE используют не обращающую внимания псевдослучайную функцию для смешивания секретного пароля пользователя с секретным значением соли сервера, так что пользователь никогда не узнает секретное значение соли сервера, а сервер никогда не узнает пароль пользователя (или значение, эквивалентное паролю) или последний ключ. ^[9]

Примеры включают в себя:

• AMP
• Дополненный-EKE
• Б-СПИК
• ПАК-Х ^[2]
• рекомендуемая розничная цена ^[а]
• АугПАКЕ ^[11]
• НЕПАКОВЫЙ ^{[12] [13] [14]}
• AuCPace ^[15]
• СПАК2+ ^[16]
• «Расширенное модульное рукопожатие для согласования ключей и дополнительной аутентификации» ^[8]

Получение ключа с аутентификацией по паролю — это процесс, в котором клиент получает статический ключ в ходе согласования на основе пароля с сервером, которому известны данные, связанные с паролем, например методы Форда и Калиски. В наиболее строгих условиях одна сторона использует только пароль в сочетании с N (двумя или более) серверами для получения статического ключа. Это выполняется таким образом, чтобы защитить пароль (и ключ), даже если N − 1 серверов будут полностью скомпрометированы.

Первыми успешными методами согласования ключей с аутентификацией по паролю были методы зашифрованного обмена ключами, описанные Стивеном М. Белловином и Майклом Мерриттом в 1992 году. Хотя некоторые из первых методов имели недостатки, сохранившиеся и усовершенствованные формы EKE эффективно превращают общий пароль в общий пароль. ключ, который затем можно использовать для шифрования и/или аутентификации сообщения.Первые доказуемо безопасные протоколы PAKE были представлены в работах М. Белларе, Д. Пойнтчеваля и П. Рогавея (Eurocrypt 2000), а также В. Бойко, П. Маккензи и С. Пателя (Eurocrypt 2000). Безопасность этих протоколов была доказана в так называемой модели случайного оракула (или даже в более сильных вариантах), а первыми протоколами, безопасность которых была доказана при стандартных предположениях, были протоколы О. Голдрейха и Й. Линделла (Crypto 2001), которые служат доказательством правдоподобия, но неэффективно, а Дж. Кац, Р. Островский и М. Юнг (Eurocrypt 2001) — практично.

Первые методы получения ключей с аутентификацией по паролю были описаны Фордом и Калиски в 2000 году.

Значительное количество альтернативных безопасных протоколов PAKE было представлено в работах М. Белларе, Д. Пойнтчеваля и П. Рогауэя, вариации и доказательства безопасности были предложены в этом растущем классе методов согласования ключей с аутентификацией паролем. Текущие стандарты для этих методов включают IETF RFC 2945, RFC 5054, RFC 5931, RFC 5998, RFC 6124, RFC 6617, RFC 6628 и RFC 6631, IEEE Std 1363.2-2008, ITU-T X.1035 и ISO-IEC 11770-4. :2006.

По запросу рабочей группы по интернет-инжинирингу IETF в 2018 и 2019 годах исследовательской группой криптофорума IRTF (CFRG) был проведен процесс выбора PAKE.Отбор кандидатов проводился в несколько туров. ^[17] В финальном раунде 2019 года победили четыре финалиста AuCPace, OPAQUE (расширенные корпуса) и CPace, SPAKE2 (сбалансированный PAKE). В результате процесса выбора CFRG два протокола-победителя были объявлены «рекомендованными CFRG для использования в протоколах IETF»: CPace и OPAQUE. ^[18]

• Криптографический протокол
• ИЭЭЭ Р1363
• Одновременная аутентификация равных
• Очерк криптографии
• Подтверждение пароля с нулевым разглашением

• Белларе, М.; Д. Пуэнчеваль; П. Рогауэй (2000). «Аутентифицированный обмен ключами, защищенный от атак по словарю». Достижения в криптологии — EUROCRYPT 2000 . Конспекты лекций по информатике . Том. 1807. Шпрингер-Верлаг. стр. 139–155. дои : 10.1007/3-540-45539-6_11 . ISBN  978-3-540-67517-4 .
• Белловин, С.М.; М. Мерритт (май 1992 г.). «Зашифрованный обмен ключами: протоколы на основе паролей, защищающие от атак по словарю». Материалы симпозиума компьютерного общества IEEE 1992 года по исследованиям в области безопасности и конфиденциальности . Окленд. стр. 72–84. дои : 10.1109/RISP.1992.213269 . ISBN  978-0-8186-2825-2 . S2CID   16063466 . {{cite book}}: CS1 maint: отсутствует местоположение издателя ( ссылка )
• Форд, В.; Б. Калиски (14–16 июня 2000 г.). «Генерация надежного секрета пароля с помощью сервера». Материалы 9-го международного семинара IEEE по перспективным технологиям: инфраструктура для совместных предприятий (WET ICE 2000) . Гейтерсбург, Мэриленд: НИСТ. стр. 176–180. CiteSeerX   10.1.1.17.9502 . дои : 10.1109/ENABL.2000.883724 . ISBN  978-0-7695-0798-9 . S2CID   1977743 .
• Гольдрейх, О.; Ю. Линделл (2001). «Генерация сеансовых ключей с использованием только человеческих паролей». Достижения криптологии — КРИПТО 2001 . Конспекты лекций по информатике. Том. 2139. Шпрингер-Верлаг. стр. 408–432. дои : 10.1007/3-540-44647-8_24 . ISBN  978-3-540-42456-7 .
• IEEE Std 1363.2-2008: Стандартные спецификации IEEE для методов шифрования с открытым ключом на основе паролей . IEEE. 2009. ISBN  978-0-7381-5806-8 . OCLC   319883358 .
• Кац, Дж.; Р. Островский; М. Юнг (2001). «Эффективный обмен ключами с аутентификацией паролем с использованием запоминающихся паролей» (PDF) . Международная ассоциация криптологических исследований . Спрингер-Вергал.
• Ву, Т. (сентябрь 2000 г.). «Система аутентификации SRP и обмена ключами» . Редактор RFC . дои : 10.17487/rfc2945 . РФК   2945 .
• Тейлор, Д.; Ву, Т.; Маврояннопулос, Н.; Перрин, Т. (ноябрь 2007 г.). «Использование протокола безопасного удаленного пароля (SRP) для аутентификации TLS» . Редактор RFC . дои : 10.17487/rfc5054 . РФК   5054 .
• Харкинс, Д.; Зорн, Г. (август 2010 г.). «Аутентификация по расширяемому протоколу аутентификации (EAP) с использованием только пароля» . Редактор RFC . дои : 10.17487/rfc5931 . РФК   5931 .
• Шеффер, Ю.; Цорн, Г.; Чофениг, Х.; Флюрер, С. (февраль 2011 г.). «Метод аутентификации EAP на основе протокола обмена зашифрованными ключами (EKE)» . Редактор RFC . дои : 10.17487/rfc6124 . RFC   6124 .
• Харкинс, Д. (июнь 2012 г.). «Аутентификация с использованием безопасного предварительного общего ключа (PSK) для протокола обмена ключами в Интернете (IKE)» . Редактор RFC . дои : 10.17487/rfc6617 . РФК   6617 .
• ISO/IEC 11770-4:2006 Информационные технологии. Методы обеспечения безопасности. Управление ключами. Часть 4. Механизмы, основанные на слабых секретах.
• IEEE Std 802.11-2012: Стандарт IEEE для информационных технологий – часть 11, спецификация управления доступом к среде беспроводной локальной сети (MAC) и физического уровня (PHY) . IEEE. 2012. ISBN  978-0-7381-8469-2 . OCLC   1017978449 .
• Ярецкий, Станислав; Кравчик, Хьюго; Сюй, Цзяюй (2018). «OPAQUE: асимметричный протокол PAKE, защищенный от атак с предварительным вычислением». Достижения в криптологии – EUROCRYPT 2018 (PDF) . Конспекты лекций по информатике. Том. 10822. стр. 456–486. дои : 10.1007/978-3-319-78372-7_15 . ISBN  978-3-319-78371-0 . S2CID   4046378 .
• Смышляев Станислав; Ошкин Игорь; Алексеев Евгений; Ахметзянова, Лилия (2015). «О безопасности протокола обмена ключами с аутентификацией по одному паролю» (PDF) . Архив криптологии ePrint (отчет 2015/1237).

• Рабочая группа IEEE P1363
• IEEE Std 1363.2-2008: Стандартные спецификации IEEE для методов шифрования с открытым ключом на основе паролей.
• Ссылки Дэвида Яблона на криптографию на основе паролей
• Простые протоколы обмена зашифрованными ключами на основе пароля Абдалла и др. 2005 г.