Протоколы MTI — семейство протоколов распределения ключей, разработанные Т. Мацумото (T. Matsumoto), И. Такасита (Y. Takashita) и Х. Имаи (H. Imai) и названные по именам авторов. Протоколы MTI делятся на три класса протоколов: MTI/A, MTI/B, MTI/C.[1]
Протокол распределения ключей решает задачу распределения секретных ключей шифрования между общающимися сторонами. Множество таких протоколов делится на следующие три типа:[2]
протоколы обмена уже сгенерированными ключами;
протоколы совместной выработки общего ключа (открытое распределение ключей);
протоколы предварительного распределения ключей.
Протоколы MTI относятся к протоколам открытого распределения ключей.
В основе протоколов открытого распределения ключей лежит обмен сообщениями между пользователями, по результатам которого каждый пользователь вычисляет секретный сеансовый ключ. При этом вычисление сеансового ключа до обмена сообщениями невозможно. Поэтому данные протоколы еще называют[3] динамическими протоколами распределения ключей в отличие от статических протоколов, в которых ключи известны еще до самого сеанса связи. Кроме того, создание сеансовых ключей в протоколах открытого распределения требует от пользователей знания только открытых ключей, т.е. позволяет паре пользователей системы выработать общий секретный ключ, не обмениваясь закрытыми ключами. Именно это привело к тому, что такие протоколы сразу же после своего появления в 1976 году привлекли к себе внимание международного сообщества.
Идея построения протоколов открытого распределения ключей была впервые высказана Уитфилдом Диффи (Whitfield Diffie) и Мартином Хеллманом (Martin Hellman) на «Национальной Компьютерной Конференции» в июне 1976 года. И в ноябре 1976 года ими же в работе «Новые направления в криптографии» (англ.New Directions in Cryptography) был предложен первый протокол открытого распределения ключей[4], названный по именам авторов (протокол Диффи-Хеллмана).
Первый в своем роде, протокол Диффи-Хеллмана был уязвим для некоторых типов атак, в частности, для атак «человек посередине»[2]. Для решения данной проблемы необходимо было обеспечить пользователей механизмом аутентификации. Таким механизмом стал опубликованный в августе 1977 года в колонке «Математические игры» журнала Scientific American алгоритм асимметричного шифрования RSA[5], который позволил решить проблему общения через открытый канал.
В 1984 году Тахером Эль-Гамалем был предложен усовершенствованный протокол Диффи-Хеллмана с возможностью односторонней аутентификации, когда только одна из общающихся сторон может проверить подлинность другой[6]. В отличие от RSAпротокол Эль-Гамаля не был запатентован и, поэтому, стал более дешевой альтернативой, так как не требовалась оплата взносов за лицензию. Считается, что алгоритм попадает под действие патента Диффи-Хеллмана.
В феврале 1986 года Т. Мацумото, И. Такасима и Х. Имаи представили решение проблемы взаимной аутентификации без использования RSA[7]. В разработанных ими протоколах MTI выражение для вычисления общего секретного ключа содержит как открытые, так и закрытые ключи легальных пользователей. Это решение позволяет провести аутентификацию одновременно с вычислением общего секретного ключа (нелегальный пользователь не может вычислить значение секретного ключа).
На настоящий момент протоколы MTI включены в стандарт ISO/IEC 11770-3[1].
Рассмотрим процесс обмена информацией между сторонами A и B.
Ниже представлены обозначения, которые будут использованы при описании работы протоколов MTI.
большое простое число (не менее 1024 бит).
простое число (порядка 160 бит), являющееся делителем числа .
подгруппа группы (обычно порядка , но иногда совпадает с )
порождающий элемент подгруппы
,
закрытые ключи сторон A и B
,
открытые ключи сторон A и B : , .
,
случайные целые числа, обычно той же величины, что и порядок группы , выбираемые сторонами A и B соответственно
,
сообщения, отправляемые от A к B и от B к A соответственно.
секретный сеансовый ключ, вычисленный сторонами A и B
Протоколы MTI/A и MTI/B требуют от каждого пользователя вычисления трех экспонент, тогда как протоколы MTI/C требуют вычисления только двух экспонент. Протокол MTI/C(1) имеет также дополнительное преимущество, состоящее в том, что не требуется вычислять обратные элементы для и . С другой стороны эти значения не меняются в течение всего сеанса связи и поэтому могут быть рассчитаны заранее.
Все стороны в протоколах MTI проводят аналогичные операции, причем работа протоколов не зависит от того, в каком порядке посылаются сообщения от одной стороны к другой.
Протоколы MTI/B и MTI/C требуют знания открытых ключей других сторон, для чего может потребоваться дополнительным обмен сообщениями (если информация об открытых ключах не помещается в отправляемых по сети сообщениях). Протоколы MTI/A знания открытых ключей не требуют, что позволяет избежать дополнительных передач и временных задержек.
Все три класса протоколов обеспечивают взаимную неявную аутентификацию ключей (mutual implicit key authentication), но не обеспечивают подтверждения правильности ключей (key confirmation) и аутентификацию сторон (entitiy authentication).
Атака по подгруппе (Small Subgroup Attack) применяется к классу протоколов MTI/C в том случае, если группа совпадает с группой
, как и предполагается в оригинальном протоколе. Предполагается, что криптоаналитику известно разложение числа на простые множители. Пусть — наименьший простой множитель в разложении числа . Обозначим . Атака заключается в возведении всех сообщений в степень , что переводит передаваемые элементы в малую подгруппу группы .
Действительно, и обмениваются сообщениями вида . Возведение элемента в степень , дает порождающий элемент подгруппы порядка . При этом этот порядок равен либо когда и, соответственно, , либо когда в своем разложении на простые множители содержит число , т.е. . Во всех остальных случаях порядок подгруппы будет равен .
Ниже описан процесс атаки на протокол MTI/C(0). Криптоаналитик находится между сторонами и (man-in-the-middle).
Сторона выбирает случайное число и отправляет сообщение
Криптоаналитик перехватывает сообщение от и отправляет сообщение
Сторона выбирает случайное число и отправляет сообщение
Криптоаналитик перехватывает сообщение от и отправляет сообщение
Сторона вычисляет сеансовый ключ:
Сторона вычисляет сеансовый ключ:
Полученный секретный сеансовый ключ , как и полученные сообщения, является элементом малой подгруппы группы . Поэтому криптоаналитик может найти ключ полным перебором, проверяя элементы подгруппы в качестве ключей в общении между и . При этом чем меньше множитель , тем быстрее проходит атака.
Атака на подгруппу может быть предотвращена путём выбора подгруппы группы простого порядка . Т.к. при этом длина составляет порядка 160 бит, то полный перебор оказывается слишком сложной задачей для криптоаналитика . Так же необходимо проверять, что полученные в сообщениях элементы лежат в группе и не равны единице.
Атака с неизвестным общим ключом требуют от криптоаналитика получить сертификат на долговременный открытый ключ , который связан с открытым ключом стороны по формуле . Это значит, что не знает секретный ключ , соответствующий открытому ключу .
Атака с неизвестным общим ключом осуществляется путём выполнения следующей последовательности действий.
Сторона выбирает случайное число и отправляет сообщение
Криптоаналитик передает сообщение от к в неизменном виде.
Сторона выбирает случайное число и отправляет сообщение
Криптоаналитик получает сообщение от и отправляет сообщение
Сторона вычисляет сеансовый ключ:
Сторона вычисляет сеансовый ключ:
Секретные ключи, вычисленные сторонами и , одинаковы и равны . При этом считает, что разделяет его с , в то время как считает, что разделяет ключ с .
Несмотря на то, что не в состоянии вычислить секретный сеансовый ключ без дополнительной информации, сторона тем не менее приводит к ошибочному мнению.
Чтобы избежать данной атаки, необходимо потребовать от сертификационных центров проводить проверку того, что стороны, запрашивающие сертификат на некоторый открытый ключ , знают соответствующий закрытый ключ .