Сцена II

Предположим, я заявляю следующее: "Я хочу прочитать свою электронную почту, для этого я связываюсь с почтовым сервером и прошу переслать эту почту моему компьютеру". В действительности, с почтовым сервером связываюсь не я. Я использую программу, которая соединяется с почтовым сервером и получает мою почту, и эта программа является КЛИЕНТОМ почтовой службы.

Но я не хочу говорить "клиент делает это, клиент делает то" каждый раз, когда речь идёт о транзакции между пользователем и сетевым сервером. Я хочу просто говорить "я делаю это, я делаю то", не забывая о том, что вообще-то всё это делает клиентская программа. Ты с этим согласен?

Договорились. Я думаю, мне следует описать систему?

Предположим, ты хочешь использовать службу, почтовую службу. В моей системе ты не можешь использовать службу, если, э-э, Харон не скажет службе, что ты тот, за кого себя выдаёшь. А ты не получишь разрешения на использование службы, если не докажешь свою подлинность Харону. Когда ты проходишь проверку подлинности Харона, ты должен сказать ему, для какой службы ты хочешь получить разрешение. Если тебе нужен почтовый сервер, ты должен сказать это Харону.

Харон просит тебя подтвердить свою подлинность. Ты делаешь это, предоставив свой секретный пароль. Харон берёт твой пароль и сравнивает его с паролем, заданным для тебя в его базе данных. Если эти пароли совпадают, Харон считают твою подлинность подтверждённой.

Теперь Харон должен убедить почтовый сервер, что ты именно тот, за кого себя выдаёшь. Так как Харон знает пароли всех служб, он знает пароль почтовой службы. А теперь представь, что Харон даст тебе пароль, который ты передашь почтовой службе, подтвердив то, что ты доказал Харону свою подлинность.

Проблема состоит в том, что Харон не может просто дать тебе пароль, так как тогда ты его узнаешь. В следующий раз, когда тебе понадобится почта, ты сможешь обойти Харона и воспользоваться почтовым сервером, минуя проверку подлинности. Ты также можешь представиться кем-то другим и использовать почтовый сервер от имени другого человека.

Поэтому, вместо того, чтобы дать тебе пароль к почтовому серверу, Харон даёт тебе БИЛЕТ к почтовой службе. Этот билет содержит преобразованное имя пользователя, ЗАШИФРОВАННОЕ ПАРОЛЕМ ПОЧТОВОЙ СЛУЖБЫ.

Имея билет, ты можешь обратиться к почтовой службе за своей почтой. Чтобы запросить её, ты сообщишь почтовому серверу, кто ты, и предоставишь билет, подтверждающий, что ты именно тот, за кого себя выдаёшь.

Служба расшифрует билет своим паролем, и, если это ей удастся, она извлечёт имя пользователя, помещённое в билет Хароном.

Затем служба сравнит это имя с именем, посланным тобой вместе с билетом. Если они совпадут, почтовый сервер решит, что твоя подлинность доказана и отдаст тебе твою почту.

Ну и что ты скажешь обо всём этом?

Мне это нравится. Таким образом, билет будет выглядеть примерно так:

   БИЛЕТ -  {имяПользователя:имяСлужбы}

Но мне кажется, я знаю способ решить эту проблему. Или, по крайней мере, частично её исправить. Я думаю, что Харон может включить в изготавливаемый билет больше информации. Помимо имени пользователя, билет также должен включать СЕТЕВОЙ АДРЕС, с которого пользователь запросил у Харона билет. Это даст тебе дополнительный уровень защиты.

Я проиллюстрирую. Предположим, что я опять похитил твой почтовый билет. В билете закодирован сетевой адрес твоего компьютера, и этот адрес не совпадает с адресом моего. Я отправлю от твоего имени ворованный билет почтовому серверу. Служба извлечёт из этого билет имя пользователя и сетевой адрес и попытается сравнить эти данные с именем пользователя и сетевым адресом пославшего этот билет. Имя пользователя совпадает, а сетевой адрес – нет. Сервер отвергает этот билет, так как очевидно, что он был украден.

Итак, билет усовершенствованной конструкции выглядит так:

Она пишет мелом на доске:

  БИЛЕТ -  {имяПользователя:адрес_компьютера:имяСлужбы}

Сцена III

Я начну с первого требования: ты должен использовать свой пароль только раз. Для удовлетворения этого требования я введу новую сетевую службу. Назовём её службой "выдающей билеты", она будет выдавать билеты пользователям, доказавшим Харону свою подлинность. Ты можешь использовать службу, выдающую билеты, если у тебя есть для неё билет – билет на выдачу билета.

Служба, выдающая билеты – это просто версия Харон, так как она также обращается к базе данных Харона. Она является частью Харона, и позволяет тебе доказывать свою подлинность с помощью билета, а не пароля.

Итак, схема проверки подлинности теперь работает так: ты регистрируешься на рабочей станции и используешь программу kinit для связи с сервером Харон. Ты доказываешь свою подлинность Харону и программа kinit получает для тебя билет на выдачу билета.

Теперь, скажем, ты хочешь получить свою почту на почтовом сервере. У тебя ещё нет почтового билета, поэтому ты используешь "билет на выдачу билета", чтобы его получить. Тебе не нужно использовать пароль для получения нового билета.

Как я и сказала, эту проблему я также решила. Когда я сказала, что ты должен связаться с Хароном, чтобы получить билет на выдачу билета, это прозвучало так, как будто ты должен передать серверу Харон по сети пароль открытым текстом. Но это вовсе не так.

Вот, что происходит на самом деле. Когда ты с помощью программы kinit получаешь билет на выдачу билета, kinit не отправляет серверу Харон твой пароль, kinit посылает только имя пользователя.

Харон находит в своей базе твой пароль. Затем Харон создаёт пакет данных, содержащий билет на выдачу билета. Прежде чем послать его тебе, Харон шифрует содержимое пакета твоим паролем.

Твой компьютер получает пакет с билетом. Ты вводишь свой пароль. Kinit пытается расшифровать билет введённым паролем. Если kinit сможет это сделать, ты успешно проходишь проверку подлинности Харона. Теперь у тебя есть билет на выдачу билетов, и с его помощью ты можешь получить все остальные требуемые билеты.

Ну и что ты скажешь об этом полете мысли?

Взгляни на это. Предположим, ты работаешь на незащищённом компьютере. Во время сеанса работы ты получила билет к почтовой и файловой службе, а также к службе печати. Теперь, предположим, что при выходе ты оставишь эти билеты на этом компьютере.

После чего зарегистрируюсь я и найду эти билеты. По мне видно, что я способен на многое, поэтому я заставлю рабочую станцию думать, что я – это ты. Так как билеты выпущены на твоё имя, я могу использовать почтового клиента для обращения к твоей почте, файлового клиента для просмотра и удаления твоих файлов, а ещё могу напечатать столько, что тебе придётся за это дорого заплатить. И всё потому, что билеты были случайно оставлены на компьютере.

И ничто не помешает мне скопировать эти билеты к себе. Я смогу продолжать использовать их целую вечность.

Но это легко исправить. Мы просто напишем программу, уничтожающую билеты пользователей после каждого сеанса. Ты не сможешь использовать уничтоженные билеты.

Тогда очевидно, в твоей системе должна работать программа, уничтожающая пакеты, но будет глупо заставлять пользователей рассчитывать на неё. Ты не можешь полагаться на то, что пользователи не будут забывать уничтожать свои пакеты перед завершением сеанса работы. И даже если ты рассчитываешь на это, рассмотри следующий сценарий.

У тебя есть программа, которая следит за сетью и отлавливает билеты службы, пролетающие по сети. Предположим, я выбрал тебя в качестве жертвы. Я подожду, когда ты начнёшь сеанс работы, включу свою программу и выловлю кучу твоих билетов.

Я дождусь, когда ты закончишь свою работу, и, в конце концов, выйдешь из системы и уйдёшь. Я поиграюсь с сетевой программой моего компьютера и изменю его адрес так, что он будет равен адресу твоей рабочей станции, на которой ты работала, пока я перехватывал пакеты. Я заставлю свой компьютер поверить в то, что я – это ты. У меня есть твои билеты, твоё имя пользователя и правильный сетевой адрес. Я могу ВОСПРОИЗВЕСТИ эти пакеты и использовать службы от твоего имени.

И меня не будет волновать, уничтожила ли ты пакеты, завершая сеанс работы на компьютере. Украденные мной билеты будут верны столько времени, сколько я буду их использовать, так как в сегодняшней конструкции билетов не ограничено ни количество использований, ни срок действия билета.

Еврипид подходит к доске и пишет:

   БИЛЕТ   {имяПользователя:адрес:имяСлужбы:времяЖизни:отметкаВремени}

Только в качестве аргумента. Я скопировала твои билеты. Затем я дождусь, пока ты выйдешь из системы. Скажем, у тебя намечен визит к врачу или тебе нужно провести занятия, и ты завершил сеанс работы на компьютере через пару часов. Ты конечно умён и разрушил перед выходом копии своих билетов.

Но я украла твои билеты, и они будут действовать еще шесть часов. Этого времени мне будет вполне достаточно, чтобы украсть твои файлы и напечатать тысячу копию чего-нибудь от твоего имени.

Механизм со сроком жизни и отметкой времени хорошо работает только тогда, когда укравший билеты решить воспроизвести их по истечении срока действия. Но если он сможет воспроизвести их до этого...

Сцена IV

Следующее утро в офисе Еврипида. Афина стучит в дверь.

Правильно. Это, мягко говоря, грубое решение. (Пауза.) Э-э, как же мне доказать свою правоту? (Она на мгновение задумалась.)

Всё правильно, я еще раз перефразирую проблему, на этот раз в форме требования. Сетевая служба должна иметь возможность определить, что человек, предоставляющий билет - именно тот, кому этот билет был выдан.

Позволь мне ещё раз проанализировать процесс проверки подлинности, и найти подходящий способ для иллюстрации моего решения этой проблемы.

Я хочу использовать какую-то сетевую службу. Я обращаюсь к этой службе, запустив на своей рабочей станции клиентскую программу. Клиент передаёт серверу три вещи: моё имя, сетевой адрес моего компьютера и соответствующий билет службы.

Билет содержит имя человека, которому он был выдан и адрес компьютера, на котором этот человек запрашивал билет. Он также содержит дату окончания действия в виде срока жизни и отметки времени. Вся эта информация зашифрована паролем службы, выданным Хароном.

Эта схема проверки подлинности полагается на следующие проверки:

• Может ли служба расшифровать билет?
• Не просрочен ли билет?
• Соответствует ли имя и адрес компьютера, указанные в билете, имени и адресу человека, пославшего этот билет?

Что доказывают эти проверки? Первая проверка доказывает, что билет был получен от Харона. Если билет не расшифровывается, он получен не от настоящего Харона. Настоящий Харон зашифровал бы этот билет паролем службы. Только Харон и служба знают пароль службы. Если билет расшифрован успешно, служба точно знает, что он получен от Харона. Эта проверка предотвращает подделку билетов Харона.

Вторая проверка проверяет срок жизни и отметку времени. Если билет просрочен, служба его не принимает. Эта проверка не даёт людям использовать старые билеты, так как они, вероятно, были украдены.

Третья проверка сравнивает имя и адрес пользователя билета с именем и адресом, указанным в билете. Если они не совпадают, пользователь билета получил (возможно, незаконно) билет другого человека. Такой билет, конечно, также не принимается.

Что доказывает эта проверка, если имя и адрес совпали? Ничего. Мошенники могут украсть пакеты при передаче по сети, сменить адреса и имена пользователей, и ограбить ресурсы других пользователей. Как я и сказала вчера, пакеты можно воспроизводить, пока срок их действия не истечёт. Они могут быть воспроизведены, потому что служба не может определить, является ли человек, посылающий билет, действительным его владельцем.

Служба не способна это определить, так как у неё нет общего секрета с пользователем. Взгляни на это. Если я охраняю Эльсинор, как ты знаешь, это замок в Гамлете, и ты хочешь сменить меня, я не должна пускать тебя на своё место, если ты не скажешь мне верный пароль. Вот пример, когда мы вдвоем знаем общий секрет. И, вероятно, этот секрет кто-то придумал для всех стоящих на посту.

Об этом я и думала ночью, почему бы Харону не создать пароль, который разделят законный владелец ключа и служба? Харон даст одну копию этого ключа сеанса службе, а другую копию – пользователю. Когда служба получит билет от пользователя, она сможет проверить подлинность пользователя с помощью этого ключа.

Она пишет мелом на доске:

 ОТВЕТ ХАРОНА  -  [ключСеанса|билет]

Копия ключа сеанса службы передаётся внутри билета, и служба получит этот ключ, когда расшифрует билет. Таким образом, билет будет выглядеть так:

 БИЛЕТ -  {ключСеанса:имяПользователя:Адрес:имяСлужбы:срокЖизни:отметкаВремени}

Когда ты захочешь обратиться к службе, запущенная клиентская программа создаст то, что я назову АУТЕНТИФИКАТОРОМ. Аутентификатор содержит твоё имя и адрес твоего компьютера. Клиент шифрует эту информацию ключом сеанса, тем, что он получил вместе с билетом.

  АУТЕНТИФИКАТОР - {имяПользователя:адрес} зашифрован ключом сеанса

Создав аутентификатор, клиент посылает его службе вместе с билетом. Служба ещё не может расшифровать аутентификатор, так как у неё нет ключа сеанса. Этот ключ находится в билете, поэтому сначала служба расшифровывает билет.

Расшифровав его, служба получает следующую информацию:

• Срок жизни и отметка времени билета;
• Имя владельца билета;
• Сетевой адрес владельца билета;
• Ключ сеанса.

Служба может проверить, не просрочен ли билет. Если в этом отношении всё хорошо, служба расшифровывает аутентификатор с помощью ключа сеанса. Если ей это удаётся, служба получает имя пользователя и сетевой адрес. Служба сравнивает эти данные с именем и адресом, находящимися в билете, а ТАКЖЕ с именем и адресом человека, отправившего этот билет и аутентификатор. Если всё сходится, служба определяет, что человек, отправивший этот пакет – действительно настоящий его владелец.

Афина делает паузу, прочищает горло, делает глоток кофе.

Я думаю, что механизм с ключом сеанса и аутентификатором решает проблему воспроизведения.

Возможно. Давай посмотрим, клиентская программа создаёт аутентификатор, затем отправляет его службе вместе с билетом. Ты перехватываешь билет с аутентификатором, когда они передаются от компьютера серверу. Но сервер получит и билет, и аутентификатор, прежде чем ты отправишь свои копии. Если аутентификатор применяется только раз, твоя копия не подойдёт, и попытка воспроизвести билет с аутентификатором окончится неудачей.

Да, это нас спасёт. Получается, что нам осталось придумать способ сделать аутентификатор одноразовым.

Нет проблем. Давай просто поместив в него срок жизни и отметку времени. И пусть срок жизни аутентификатора будет ограничен парой минут. Когда ты захочешь использовать службу, твоя клиентская программа создаст аутентификатор, отметит в нём текущее время и отправит его серверу вместе с билетом.

Сервер получит билет вместе с аутентификатором и займётся своим делом. Когда сервер расшифрует аутентификатор, он проверит его время жизни и отметку времени. Если аутентификатор не просрочен и всё остальные проверки пройдены, сервер решит, что ты прошла проверку подлинности.

Предположим, что я скопировал аутентификатор и билет, когда они передавались по сети. Я должен будет изменить сетевой адрес моего компьютера и своё имя пользователя, и проделать это за пару минут. Это будет довольно сложно. На самом деле, я думаю, что это невозможно. Хотя...

Да, здесь ещё одна потенциальная проблема. Предположим, что я не буду перехватывать пакет с аутентификатором передаваемый от твоей рабочей станции серверу, а перехвачу оригинальный билет, отправленный Хароном, который ты получила в ответ на запрос билета.

Насколько я помню, в нём содержится ключ сеанса: один для тебя и другой для службы. Ключ службы скрыт в билете и получить его я не смогу, но как быть с другим, который используется для построения аутентификаторов?

Если я смогу получить копию ключа сеанса, я смогу создать собственные аутентификаторы, а если я их создам, я смогу взломать систему.

Да, я думала об этом ночью, но затем я проанализировала процесс получения билетов и поняла, что украсть аутентификаторы таким способом невозможно.

Ты садишься за рабочую станцию и с помощью программы kinit получаешь билет на выдачу билетов. Kinit запрашивает у тебя имя пользователя, и когда ты его вводишь, kinit отправляет это имя Харону.

Харон использует это имя для поиска твоего пароля, а затем создаёт для тебя билет на выдачу билета. В ходе этого процесса Харон создаёт ключ сеанса, который ты разделишь со службой выдачи билетов. Харон помещает одну копию этого ключа сеанса в билет на выдачу билета, а другую в пакет с билетом, который ты должен получить. Но прежде чем послать тебе этот пакет, Харон шифрует всё это твоим паролем.

Харон посылает пакет по сети. Кто-то может перехватить это пакет, но он не сможет с ним что-либо сделать, так как пакет зашифрован твоим паролем. Получается, что никто не может украсть ключ сеанса на выдачу билета.

Kinit получает пакет с билетом и предлагает тебе ввести пароль, что ты и делаешь. Если ты вводишь верный пароль, kinit может расшифровать пакет и дать тебе твою копию ключа сеанса.

Теперь, когда ты разобрался с механизмом kinit, ты хочешь получить свою почту. Ты запускаешь программу почтового клиента. Эта программа ищет билет для почтовой службы и не находит его (до этого ты не обращался за почтой). Чтобы получить билет к почтовой службе у службы выдачи билетов, клиент должен использовать билет на выдачу билетов.

Клиент создаёт аутентификатор для транзакции получения билета и шифрует его своей копией ключа сеанса выдачи билета. Затем клиент передаёт Харону аутентификатор, билет на выдачу билета, твоё имя, адрес твоего компьютера и имя почтовой службы.

Служба выдачи билетов получает всё это и выполняет проверки подлинности. Если всё проходит хорошо, служба выдачи билетов получает копию ключа сеанса, который она разделяет с тобой. Затем служба выдачи билетов строит билет для почтовой службы, при этом она создаёт для тебя новый ключ сеанса, который ты разделишь с почтовой службой.

После этого служба выдачи билета подготавливает к передаче твоему компьютеру пакет с билетом. Этот пакет содержит билет и твою копию ключа сеанса почтовой службы. Но прежде чем отправить пакет, служба выдачи билетов шифрует его своей копией ключа сеанса ВЫДАЧИ БИЛЕТОВ. Сделав это, она отправляет пакет.

Итак, мы наблюдаем пакет с билетом почтовой службы, передающийся по сети. Предположим, что какой-то сетевое чудовище перехватит его. Чудовищу не повезёт, та как пакет зашифрован ключом сеанса выдачи билета, а ключ известен только тебе и службе выдачи билетов. Так как это чудовище не сможет расшифровать пакет с почтовым билетом, оно не сможет получить КЛЮЧ ПОЧТОВОГО СЕАНСА. Без этого ключа сеанса, оно не сможет использовать ни один из билетов почтовой службы, которые вы будете пересылать по сети.

Я думаю, что мы защищены. А как ты считаешь?

Ты так добра. (Еврипид прочищает горло.) Этой ночью, наблюдая в своей голове за пляской аутентификаторов и ключей сеансов, я попытался обнаружить новые проблемы этой системы, и обнаружил ещё одну, весьма серьёзную. Я опишу её тебе в следующем сценарии.

Предположим, что ты устала от своей работы и решила, что лучше поискать себе другое место. Ты хочешь напечатать своё резюме на шустром лазерном принтере компании, чтобы кадровые агент и потенциальные работодатели могли узнать о твоём профессионализме.

Итак, ты вводишь команду печати и указываешь, что резюме нужно отправить на определённый принт-сервер. Эта команда получает требуемый билет службы (если у тебя его ещё нет), затем посылает этот билет с твоим именем подходящему серверу печати. По крайней мере, ты считаешь, что именно ему. Но на самом деле ты не можешь гарантировать, что он дойдёт до нужного сервера печати.

Предположим, что какой-то нечистоплотный хакер, скажем, твой босс, перенастроил всю систему так, что твой запрос вместе с билетом попадёт к почтовому серверу в его кабинете. Его службу печати не волнует билет и его содержимое. Она отбросит пакет и отправит твоему компьютеру сообщение о том что, билет прошёл осмотр, и сервер готов и хочет распечатать твоё задание. Команда печати отправляет задание фальшивому серверу печати и враг получает твоё резюме.

Я опишу эту проблему с другой стороны. Без ключей сеанса и аутентификаторов Харон может защитить сервера от фальшивых пользователей, но он не мог защитить пользователей от фальшивых серверов. Нашей системе не хватает механизма проверки подлинности сервера до передачи ему важной информации. Система должна обеспечивать взаимную проверку подлинности.

Но ключ сеанса решает эту проблему, если разработать клиентские программы правильно. Вернёмся к сценарию с сервером печати. Мне нужна клиентская программа печати, которая убедится в законности службы, которой она посылает задания.

Вот что эта программа должна делать. Я ввожу команду печати и указываю имя файла с моим резюме. Предположим, что у меня есть билет службы печати и ключ сеанса. Программа клиента использует этот ключ сеанса для создания аутентификатора, затем отправляет аутентификатор вместе с билетом "предполагаемому" почтовому серверу. Клиент ещё НЕ отправил резюме, он ждёт ответа от службы.

Настоящая служба получает билет и аутентификатор, расшифровывает пакет и извлекает из него ключ сеанса, после чего использует ключ сеанса для расшифровывания аутентификатора. Сделав это, служба проводит все необходимые проверки подлинности.

Предположим, что проверки подтвердили мою подлинность. Теперь сервер готовит пакет ответа, чтобы доказать свою подлинность клиентской программе. Он шифрует этот пакет ключом сеанса, а затем возвращает его ожидающему клиенту.

Клиент получает пакет и пытается расшифровать его моим ключом сеанса. Если пакет расшифрован верно, и в нём содержится корректный ответ сервера, моя клиентская программа точно знает, что сервер, зашифровавший пакет – настоящий. После этого клиент отправляет задание с резюме службе печати.

Предположим, что мой босс перенастроил всё так, что его почтовый сервер изображает из себя нужный мне. Мой клиент посылает аутентификатор и билет "службе печати" и ждёт ответа. Фальшивая служба печати не может ответить корректно, так как она не может расшифровать билет и получить ключ сеанса. Мой клиент не отправит задание, пока он не получит верного ответа. В конце концов, клиент прекращает ожидание и завершает свою работу. Моё задание печати не выполняется, но, по крайней мере, моё резюме не попало на стол врагу.

Ты знаешь, мне кажется, что у нас есть солидный фундамент для реализации системы проверки подлинности Харон.