ПРОТОКОЛ ЦЕНТРАЛИЗОВАННОГО РАСПРЕДЕЛЕНИЯ ОТКРЫТЫХ КЛЮЧЕЙ

A – инициатор, запрашивает выдачу средств A и B. Сертификат A нужен, чтобы выработать пару ОК и ЗК. ОК посылает B.

1. A ® ЦРК: Id_A, Id_B «Пришлите сертификаты A и B»

2. ЦРК ® A: ЦРК передает A два сертификата:

С_А = E_K^C_ЦРК (L_А , K^O_A, Id_A), (L_А , K^O_A, Id_A);

С_В = E_K^C_ЦРК (L_В , K^O_B, Id_B), (L_В , K^O_B, Id_B).

A проверяет подлинность сертификата B и берет себе ОК B. Свой ОК у него есть. Проверяет сертификат B путем:

• Проверить подпись;

• Проверить сроки L_А, L_В действия сертификатов С_А,С_В.

Успешная проверка подписи говорит о том, что информация подписана ЦРК и что ключ B K⁰_B – подлинный.

Проверка сроков L_А, L_В используется для подтверждения актуальности (валидности) сертификатов.

3. A проверяет открытым ключом сертификат B

A ® B: C_A, E_K^C_A (T), E_K^O_B (r₁)

C_A – ключ

E_K^C_A (T) –для аутентификации А.

E_K^O_B (r₁) – для проверки подлинности B

r₁ – некоторое случайное число

4. В ® А: E_K^O_А (f(r₁))

E_K^O_В - открытый ключ В, E_K^O_А - открытый ключ А.

В этом протоколе используется идея сертификатов открытых ключей.

Сертификатом открытого ключа С называется сообщение ЦРК, удостоверяющее целостность некоторого открытого ключа объекта. Например, сертификат открытого ключа для пользователя A, обозначаемый СА, содержит отметку времени Т, идентификатор ld_A и открытый ключ КА, зашифрованные секретным ключом ЦРК К_ЦРК, т. е. С_А = Е_кцрк(Т, ld_A, К_А). Отметка времени Т используется для подтверждения актуальности сертификата и тем самым предотвращает повторы прежних сертификатов, которые содержат открытые ключи и для которых соответствующие секретные ключи несостоятельны.

Секретный ключ К_ЦРК известен только менеджеру ЦРК. Открытый ключ К_црк известен участникам А и В. ЦРК поддерживает таблицу открытых ключей всех объектов сети, которые он обслуживает.

Вызывающий объект А инициирует стадию установления ключа, запрашивая у ЦРК сертификат своего открытого ключа и открытого ключа участника В:

1. А -> ЦРК: ld_A,ld_B ,"Вышлите сертификаты ключей А и В'". (1)

Здесь ld_A и ld_B- уникальные идентификаторы соответственно участников А и В. Менеджер ЦРК отвечает сообщением

2. ЦРК-> А: Е_кцрк(Т, ld_A, К_A, Е_кцрк(Т, ld_B, K_B). (2)

Участник А, используя открытый ключ ЦРК К_цРК, расшифровывает ответ ЦРК, проверяет оба сертификата. Идентификатор ld_B убеждает А, что личность вызываемого участника правильно зафиксирована в ЦРК и К_в – действительно открытый ключ участника B, поскольку оба зашифрованы ключом K_ЦРК. Хотя открытые ключи предполагаются известными всем, посредничество ЦРК позволяет подтвердить их целостность. Без такого посредничества злоумышленник может снабдить А своим открытым ключом, который А будет считать ключом участника В. Затем злоумышленник может подменить собой В и установить связь с А, и его никто не сможет выявить. Следующий шаг протокола включает установление связи А с В:

3. А->В:С_А1Е_кА(Т),Е_кв(r₁). (3)

Здесь С_А-сертификат открытого ключа пользователя А; Е_кA(Т)-отметка времени, зашифрованная секретным ключом участника А и являющаяся подписью участника А, поскольку никто другой не может создать такую подпись; r - случайное число, генерируемое А и используемое для обмена с В в

ходе процедуры подлинности.

Если сертификат СА и подпись А верны, то участник В уверен, что сообщение пришло от А. Часть сообщения Е_кв(r₁) может расшифровать только В, поскольку никто другой не знает секретного ключа K_в, соответствующего открытому ключу К_в. Участник В расшифровывает значение числа r₁ и, чтобы подтвердить свою подлинность, посылает участнику А сообщение

4. В->Е_кa(r₁). (4)

Участник А восстанавливает значение r, расшифровывая это сообщение с использованием своего секретного ключа K_А. Если это ожидаемое значение r-1 то А получает подтверждение, что вызываемый участник действительно В. Протокол, основанный на симметричном шифровании, функционирует быстрее, чем протокол, основанный на криптосистемах с открытыми ключами.

Однако способность систем с открытыми ключами генерировать цифровые подписи, обеспечивающие различные функции защиты, компенсирует избыточность требуемых вычислений

Пусть сторона А хочет получить сеансовый ключ для информационного обмена со стороной В.

Сторона А инициирует фазу распределения ключей, посылая по сети серверу K_S идентификаторы ld_A и ld_B:

1. А -> KS: ld_A, ld_B. (1)

Сервер KS генерирует сообщение с временной отметкой Т, сроком действия L, случайным сеансовым ключом К и идентификатором ld_A. Он шифрует это сообщение секретным ключом, который разделяет со стороной В.

Затем сервер KS берет временную отметку Т, срок действия L, сеансовый ключ К, идентификатор ld_B стороны В и шифрует все это секретным ключом, который разделяет со стороной А. Оба эти зашифрованные сообщения он отправляет стороне А:

2. KS -> A: EA(T, L, K, ld_B), EB(T, L, K, ld_A). (2)

Сторона А расшифровывает первое сообщение своим секретным ключом, проверяет отметку времени Т, чтобы убедиться, что это сообщение не является повторением предыдущей процедуры распределения ключей. Затем сторона А генерирует сообщение со своим идентификатором ld_A и

отметкой времени Т, шифрует его сеансовым ключом К и отправляет стороне В. Кроме того, А отправляет для В сообщение от K_S, зашифрованное ключом стороны В:

3. A->B:EK(ld_A,T),EB(T, L, К, ld_A). (3)

Только сторона В может расшифровать сообщения (3). Сторона В получает отметку времени Т, срок действия L, сеансовый ключ К и идентификатор ld_A. Затем сторона В расшифровывает сеансовым ключом К вторую часть сообщения (3). Совпадение значений Т и ld_A в двух частях

сообщения подтверждают подлинность А по отношению к В.

Для взаимного подтверждения подлинности сторона В создает сообщение, состоящее из отметки времени Т плюс 1, шифрует его ключом К и отправляет стороне А:

4. В->А:Ек(Т+1). (7.4)

Если после расшифрования сообщения (4) сторона А получает ожидаемый результат, она знает, что на другом конце линии связи находится действительно В.

Этот протокол успешно работает при условии, что часы каждого участника синхронизированы с часами сервера K_S. Следует отметить, что в этом протоколе необходим обмен с K_S для получения сеансового ключа каждый раз, когда А желает установить связь с В. Протокол обеспечивает

надежное соединение объектов А и В при условии, что ни один из ключей не скомпрометирован и сервер K_S защищен.

Криптографическая система с открытым ключом (или Асимметричное шифрование, Асимметричный шифр) — система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации ЭЦП и для расшифровки сообщения используется секретный ключ.[1] Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в протоколах TLS и его предшественнике SSL (лежащих в основе HTTPS), в SSH.