SKIP

Simple Key-Management for Internet Protocol (или SKIP) — протокол, разработанный около 1995 года компанией IETF Security Working Group для обмена ключами шифрования.

SKIP является гибридным протоколом распределения ключей, похожим на SSL, кроме того, он один раз устанавливает долгосрочные ключи, а затем не требует предварительной связи в целях установления или обмена ключами. Таким образом, он не требует никаких дополнительных соединений и постоянной генерации новых ключей.

По нумерации IANA этому протоколу присвоен номер 57.

История

Протокол обмена ключами шифрования SKIP был разработан около 1995 года IETF Security Working Group . Сейчас этот протокол развивается в основном усилиями компании Sun Microsystems. SKIP и Photuris были оценены как ключевые механизмы обмена данными до принятия IKE в 1998 году.^[1]

Описание

Введение в SKIP

Simple Key-Management for Internet Protokols представляет собой протокол управления ключами. SKIP позволяет немодифицированным приложениям использовать шифрование и/или аутентификацию для обеспечения связи по IP-сетям. Он предназначен для использования с такими интернет протоколами, как IPv6 с AH (Authentication Header) и ESP.

Этот протокол обеспечивает конфиденциальность и проверку подлинности для взаимодействующих сторон. Отличительной его особенностью является исключительное использование в качестве криптографического алгоритма метода Диффи-Хеллмана.

Также стоит отметить, что Интернет-хост может отправить зашифрованный пакет на другой узел, не требуя предварительного обмена сообщениями для установки безопасного канала. Его преимущества включают отсутствие проблем с установкой и поддержку односторонних IP, а также масштабируемую раздачу ключей широковещательным запросом. Подход SKIP обременен добавлением дополнительных промежуточных заголовков, которые могут занимать от 20 до 28 байт для каждого охраняемого пакета, что увеличивает пропускную способность по сравнению с ESP.^[2]

В целях реализации SKIP, каждый IP, основанный на источнике и назначении, должен иметь DH общественного значения. Это значение может быть проверено с использованием сертификатов X.509^[3], Secure DNS^[4] или сертификат PGP^[5] и т. д.^[6]

Основы структуры ключей

Краткое описание SKIP, которое будет ниже, в основном базируется на^[7], даже если это не упомянуто в тексте явно.

IP источник I имеет секретное значение i, и общественное значение gⁱ mod p, узел назначения J имеет значения j и g^j mod p, соответственно. Взаимная проверка подлинности общего секрета определяется как g^ij mod p.

Ключ g^ij mod p называется долгосрочным, ключ K_ij может быть получен из него путем использования младшего разряда g^ij mod p. K_ij используется в качестве ключа для блокировки Symmetric Key CryptoSystem (SKCS), как DES, RC2 или IDEA.

K_ij является неявным ключом, доступным обеим сторонам, который не должен быть отправлен ни в одном из пакетов или «уйти» вне группы. Узел назначения может вычислить этот общий ключ (K_ij), просто зная исходное авторизированное открытое значение узла.

Временный пакетный ключ K_p зашифровывается с помощью K_ij. Этот ключ используется во время шифрования/аутентификации IP-пакетов. Так как K_ij действителен в течение относительно длительного периода времени, IP-трафик не шифруется с помощью ключа K_ij. Данный ключ называется мастер-ключом, поскольку он шифрует только другие ключи.

Для того, чтобы подготовить пакет для передачи узлу J нет необходимости связываться с этим узлом. Когда узел J получает пакет, он также вычисляет общий секретный ключ K_ij и сохраняет его для использования в дальнейшем. С помощью K_ij он получает K_p, а используя K_p, он получает исходный IP-пакет.

Если исходный узел I изменяет K_p, узел-получатель J может обнаружить этот факт без необходимости выполнения затратных операций по вычислению открытого ключа. Он использует ранее сохраненные значения K_ij для расшифровки пакетов, зашифрованных с помощью ключа K_p. Таким образом, ключи шифрования/аутентификации пакетов могут быть изменены передающей стороной и обнаружены принимающей без дополнительной связи между ними.^[6]

Ручная рассылка мастер-ключа

Если в SKIP недоступна проверка подлинности автоматической рассылки открытого ключа, узлы могут использовать ручную рассылку. В этих случаях мастер-ключ K_ij должен быть одним из ключей, который установливается вручную.

В связи с тем, что мастер-ключ K_ij и ключ шифрования трафика K_p разделены, SKIP может автоматически обновлять K_p, даже когда используется ручная рассылка мастер-ключа.^[6]

Алгоритм обновления мастер-ключа нулевым сообщением.

Неявный парный мастер-ключ, называемый K_ijn, может быть использован для создания произвольного количества неявных мастер-ключей, делая тем самым масетр-ключ функцией счетчика n. При этом значение этого счетчика может только увеличиться.

Другими словами, используется формирование ключа для шифрования не в чистом виде K_ij, а в виде производной K_ijn = h(K_ij,n) где h() — хэш-функция, а n — постоянно увеличивающийся счетчик. Этот счетчик может изменяться на единицу в зависимости от конкретной задачи раз в день, час, минуту и т. д. Это является дополнительной мерой обеспечения защиты как от возможного повторного использования взломанных ключей аутентификации трафика, так и для обеспечения грубой защиты (крупными блоками) повторной передачи потока данных. Случаи, когда конкретный ключ аутентификации трафика находится под угрозой повторного использования, предотвращаются обновлением мастер-ключа K_ij, а также тем, что мастер ключ никогда не используется дважды.^[7]

Согласно^[7], K_ij должен занимать 256 бит, а если K_ij получен из g^ij mod p, то младший разряд 256 бит используются в качестве входных данных для расчета K_ijn. Вычисление мастер-ключа более подробно разобрано в^[7].

Хотя описанное выше использует классический алгоритм Диффи-Хеллмана (англ. Diffie-Hellman, DH), протоколы могут быть применены к любой системе, использующей публичные ключи шифрования, которая определяется как система, где одна сторона сочетает в себе сообщения другой и свои собственные данные для расшифровки данных, доступных только этим сторонам.^[6]

Формат заголовка SKIP

0		8	16	24
Ver	Rsvd	Source NSID	Dest NSID	Next Header
Counter n
Kij Alg		Crypt Alg	MAC Alg	Comp Alg
Kp зашифрованный на Kijn (перем.длина)
Source MKID (если Source NSID=0)
Dest MKID (если Dest NSID=0)

Ver – номер версии протокола. Следующие за ним 4 бита зарезервированы (Rsvd). Далее – идентификаторы пространств имен источника и получателя Source NSID и Dest NSID. Если они равны 0, то в полях Source MKID и Dest MKID ставятся IP-адреса источника и получателя соответственно. После поля Dest NSID идет поле Next Header, содержащее номер протокола, следующего за SKIP. Далее идет 32-разрядное поле счетчика Counter n. Как отмечается в описаниях, правила для работы со счетчиком n отнесены на усмотрение разработчика, но для обеспечения совместимости версий предлагается считать, что n – время в часах, отсчитанное от 00:00 01.01.95. Как правило, если значение счетчика n пришедшего пакета отличается более чем на 1 от текущего, то пакет отбрасывается.

Далее в заголовке идут байтовые идентификаторы алгоритмов: шифрования ключа K_p – K_ij Alg, шифрования данных в пакете – Crypt Alg, аутентификации данных – MAC Alg, сжатия (если используется) – Comp Alg. После идентификаторов в SKIP-заголовок помещается ключ K_p, зашифрованный на ключе K_ijn (размер этого поля зависит от используемых алгоритмов шифрования ключа и данных). Далее идут идентификаторы отправителя и получателя в выбранном пространстве имен – Source MKID и Dest MKID. Наличие нескольких идентификаторов позволяет более гибко настраивать использование протоколов безопасности. Например, если на одном компьютере работают различные приложения, можно описать политику, указывающую какие алгоритмы и ключи использовать для защиты данных каждого из них.

В случае совместного использования протоколов SKIP и ESP, заголовок SKIP размещается после IP-заголовка перед заголовком ESP:

IP-заголовок

SKIP-заголовок

ESP

В этом случае, протокол ESP использует параметры соединения, определяемые протоколом SKIP.^[8]

Атаки, от которых предохраняет SKIP

SKIP не подвержен атакам средних типов (^[7]), поскольку общие параметры DH носят долгосрочный характер и проходят проверку подлинности.

Если пакет ключей аутентификации K_p когда-либо окажется раскрыт, то обновление мастер-ключа алгоритмом, описанным выше, исключает повторное использование раскрытого ключа. Поэтому, даже если конкретный ключ трафика K_p будет под угрозой, текущий неявный ключ K_ijn будет в безопасности, и поэтому злоумышленник не сможет вычислить алгоритмы шифрования K_p в K_ijn. «Не зная шифрования K_p с помощью K_ijn, злоумышленник не может повторно использовать ранее раскрытые ключи K_p для чего бы то ни было»^[7].

Кроме того, даже если все ключи K_p, зашифрованные данным K_ijn, окажутся раскрыты, злоумышленник не сможет ничего узнать о других K_p или узнать K_ijn. «Даже выборочное использование ключей K_p, с целью нахождения K_ijn, эквивалентно выборочной атаке по открытому тексту на K_ijn, и это невозможно даже при очень большом количестве известных ключей K_p до тех пор, пока алгоритм шифрования ключей не окажется незащищенным от данной этаки»^[7]. А так как алгоритм шифрования ключей является защищенным от общей/выборочной атаки, то и протокол SKIP в целом является защищенным от этого.

Также, в целях предотвращения атак, засоряющих ресурсы, рекомендуется предварительно вычислять и кэшировать мастер-ключи K_ij, основываясь либо на использовании машинных методов или на принятии административных мер, упомянутых в^[7].

Особенности SKIP

По сравнению с существующими системами шифрования трафика, SKIP имеет ряд уникальных особенностей ^[9]:

• SKIP универсален:
  • он шифрует IP-пакеты, не используя информацию о формирующих их пользователях, приложениях или процессах;
  • будучи установленным непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на программное обеспечение, ни на физические каналы.

• SKIP сеансонезависим: не требует дополнительного обмена информацией для организации защищенного взаимодействия (за исключением единовременно запрошенного открытого ключа собеседника).

• SKIP независим от системы шифрования:
  • другие системы шифрования могут быть подсоиденены к системе в виде внешних библиотечных модулей;
  • пользователь может выбирать алгоритм шифрования информации - как из предлагаемых поставщиком, так и использовать свой;
  • для закрытия пакетного ключа и, собственно, данных могут использоваться различные алгоритмы шифрования разной степени защищенности.

Сравнение с аналогами

Среди протоколов управления криптографическими ключами наиболее широкое распространение получили протоколы SKIP и ISAKMP. SKIP проще в реализации, но он не поддерживает переговоров по поводу алгоритмов шифрования. Если получатель, использующий SKIP, не может расшифровать пакет, он уже никак не согласует метод шифрования с противоположной стороной. Протокол ISAKMP (вернее, его более поздняя реализация протокол IKE - Internet Key Exchange) поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. При использовании ISAKMP снижается уязвимость закрытых основных ключей, служащих для распределения временных ключей шифрования.^[10] При этом IKE считается более надежным и гибким. ^[11]

В протоколе IPv4 может применяться как протокол ISAKMP, так и протокол SKIP.

Применение

• Устройство обеспечения безопасности локальной сети SKIPBridge.^[9]

Устройство SKIPBridge представляет собой систему, устанавливаемую на интерфейсе внутренней или внешней сети (локальная сеть/коммуникационный провайдер). Устройство обеспечивает шифрование трафика, направляемого из внутренней сети во внешнюю на основе протокола SKIP, а также фильтрацию и дешифрование трафика, поступающего из внешней сети во внутреннюю.

IP-пакеты, принимаемые из внешней сети, обрабатываются протоколом SKIP (расшифровываются, фильтруются открытые пакеты, контролируется и обеспечивается имитозащита). Пакеты, прошедшие обработку SKIP, при помощи протокола IP передаются программному обеспечению SKIPBridge, решающему задачи административной безопасности (обеспечивающему пакетную фильтрацию), и затем - операционной системе устройства SKIPBridge, которая маршрутизует пакеты на адаптер локальной сети.

• Устройство SunScreen: аппаратная система защиты локальных сетей.^[9]

SunScreen - это специализированная система защиты, разработанная компанией Sun Microsystems, решающая задачи развитой фильтрации пакетов, аутентификации и обеспечения конфиденциальности трафика. Устройство SunScreen выполнено на основе аппаратного модуля SPF-100. SPF-100 содержит SPARC-процессор, работающий под управлением специальной усеченной версии ОС Solaris, из которой изъяты функции низкоуровневой обработки IP-пакетов. Так как SunScreen не имеет IP-адреса, он "невидим" из внешней сети и, как следствие, неподвержен прямой атаке.

Устройство SunScreen, содержит пять Ethernet-адаптеров, к которым могут подсоединяться четыре независимых сегмента локальной сети и коммуникационный провайдер. Для каждого сегмента обеспечивается индивидуальная настройка политики безопасности путем задания сложного набора правил фильтрации пакетов (по направлению распространения, по адресам отправителя/получателя, по протоколам и приложениям, по времени суток и т.д.).

Важной чертой SunScreen является поддержка протокола SKIP, что используется как для обеспечения безопасности работы, управления и конфигурирования систем SunScreen, так и для организации SKIP-защиты пользовательского трафика. Использование протокола SKIP в Screen-системах привностит ряд дополнительных возможностей. Screen-устройства могут инкапсулировать весь внешний трафик защищаемых локальных сетей в SKIP (производить SKIP-туннелирование). При этом исходные IP-пакеты могут помещаться в блоки данных SKIP-пакетов, а сетевые адреса всех узлов внутренних сетей могут быть заменены на виртуальные адреса, отвечающие во внешней сети Screen-устройствам (адресная векторизация). В результате весь трафик между защищаемыми локальными сетями извне будет выглядеть как полностью шифрованный трафик между узлами-Screen-устройствами. Вся информация, доступная внешнему наблюдателю - это временная динамика и оценка интенсивности трафика, которая также может маскироваться - путем использования сжатия данных и выдачи "пустого" трафика.

Продукт SunScreen был признан журналом "LAN Magazin" продуктом 1996 года в категории firewall.

Источники

1. ↑ Configuring IPsec/IKE on Solaris, SecurityFocus (15 августа 2002).
2. ↑ SKIP  (англ.).
3. ↑ A. Aziz, T. Markson, H. Prafullchandra X.509 Encoding of Diffie-Hellman Public Values. — Internet Draft, Dec 1995.
4. ↑ D. Eastlake , C. Kaufman Domain Name System Protocol Security Extensions. — Jan 1996.
5. ↑ Randall Atkinson Security Architectute for the Internet Protocol. — Internet Draft, Aug 1995.
6. ↑ ^{1 2 3 4} IPv6 Key Management  (англ.).
7. ↑ ^{1 2 3 4 5 6 7 8} A. Aziz, T. Markson, H. Prafullchandra Simple Key-Management For Internet Protocols (SKIP) / IPSEC Working Group & Sun Microsystems. — Internet-Draft, Dec 1995.
8. ↑ Нестеров С.А. 3.3.3. Протокол SKIP // Информационная безопасность и защита информации. — СПб.: Издательство Политехнического университета, 2009. — С. 109-112. — 126 с. — ISBN 978-5-7422-2286-6
9. ↑ ^{1 2 3} С.Рябко Безопасность в Internet.
10. ↑ Введение в Internet и Intranet. — С. глава 3.
11. ↑ Бабкин В.Ю. Технология построения защищенных автоматизированных систем / Граков В.И.. — 2011.

Ссылки

• The SKIP Encryption Algorithm  (англ.).
• IPv6 Key Management  (англ.).