ITU-T X 1035 FRENCH-2007 Password-authenticated key exchange (PAK) protocol《基于口令认证的密钥交换协议 (研究组17)》.pdf

《ITU-T X 1035 FRENCH-2007 Password-authenticated key exchange (PAK) protocol《基于口令认证的密钥交换协议 (研究组17)》.pdf》由会员分享，可在线阅读，更多相关《ITU-T X 1035 FRENCH-2007 Password-authenticated key exchange (PAK) protocol《基于口令认证的密钥交换协议 (研究组17)》.pdf（14页珍藏版）》请在麦多课文档分享上搜索。

1、 Union internationale des tlcommunicationsUIT-T X.1035SECTEUR DE LA NORMALISATION DES TLCOMMUNICATIONS DE LUIT (02/2007) SRIE X: RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT Scurit des tlcommunications Protocole dchange de cls avec authentification par mot de passe Recommandation

2、UIT-T X.1035 RECOMMANDATIONS UIT-T DE LA SRIE X RSEAUX DE DONNES, COMMUNICATION ENTRE SYSTMES OUVERTS ET SCURIT RSEAUX PUBLICS DE DONNES Services et fonctionnalits X.1X.19 Interfaces X.20X.49 Transmission, signalisation et commutation X.50X.89 Aspects rseau X.90X.149 Maintenance X.150X.179 Dispositi

3、ons administratives X.180X.199 INTERCONNEXION DES SYSTMES OUVERTS Modle et notation X.200X.209 Dfinitions des services X.210X.219 Spcifications des protocoles en mode connexion X.220X.229 Spcifications des protocoles en mode sans connexion X.230X.239 Formulaires PICS X.240X.259 Identification des pr

4、otocoles X.260X.269 Protocoles de scurit X.270X.279 Objets grs des couches X.280X.289 Tests de conformit X.290X.299 INTERFONCTIONNEMENT DES RSEAUX Gnralits X.300X.349 Systmes de transmission de donnes par satellite X.350X.369 Rseaux protocole Internet X.370X.379 SYSTMES DE MESSAGERIE X.400X.499 ANNU

5、AIRE X.500X.599 RSEAUTAGE OSI ET ASPECTS SYSTMES Rseautage X.600X.629 Efficacit X.630X.639 Qualit de service X.640X.649 Dnomination, adressage et enregistrement X.650X.679 Notation de syntaxe abstraite numro un (ASN.1) X.680X.699 GESTION OSI Cadre gnral et architecture de la gestion-systmes X.700X.7

6、09 Service et protocole de communication de gestion X.710X.719 Structure de linformation de gestion X.720X.729 Fonctions de gestion et fonctions ODMA X.730X.799 SCURIT X.800X.849 APPLICATIONS OSI Engagement, concomitance et rtablissement X.850X.859 Traitement transactionnel X.860X.879 Oprations dist

7、antes X.880X.889 Applications gnriques de lASN.1 X.890X.899 TRAITEMENT RPARTI OUVERT X.900X.999 SCURIT DES TLCOMMUNICATIONS X.1000 Pour plus de dtails, voir la Liste des Recommandations de lUIT-T. Rec. UIT-T X.1035 (02/2007) i Recommandation UIT-T X.1035 Protocole dchange de cls avec authentificatio

8、n par mot de passe Rsum La Recommandation UIT-T X.1035 contient un protocole qui permet une authentification mutuelle de deux parties lorsque celles-ci laborent une cl de chiffrement symtrique via un change de Diffie-Hellman. Le recours lchange de Diffie-Hellman garantit la confidentialit totale ver

9、s lavant (proprit dun protocole de cration de cls qui garantit que la compromission dune cl de session ou dune cl prive de longue dure aprs une session donne nentrane pas la compromission dune session antrieure). Avec la mthode dauthentification propose, lchange est protg contre “lattaque de linterc

10、epteur“. Cette authentification repose sur un secret partag au pralable (par exemple, un mot de passe), qui est protg (cest-dire qui nest pas rvl un intrus), ce qui carte le risque dattaque “par dictionnaire“ hors connexion. Ce protocole peut donc tre utilis pour des applications trs diverses associ

11、es des secrets partags au pralable reposant sur un mot de passe qui peut tre faible. Source La Recommandation UIT-T X.1035 a t approuve le 13 fvrier 2007 par la Commission dtudes 17 (2005-2008) de lUIT-T selon la procdure dfinie dans la Recommandation UIT-T A.8. ii Rec. UIT-T X.1035 (02/2007) AVANT-

12、PROPOS LUIT (Union internationale des tlcommunications) est une institution spcialise des Nations Unies dans le domaine des tlcommunications. LUIT-T (Secteur de la normalisation des tlcommunications) est un organe permanent de lUIT. Il est charg de ltude des questions techniques, dexploitation et de

13、 tarification, et met ce sujet des Recommandations en vue de la normalisation des tlcommunications lchelle mondiale. LAssemble mondiale de normalisation des tlcommunications (AMNT), qui se runit tous les quatre ans, dtermine les thmes dtude traiter par les Commissions dtudes de lUIT-T, lesquelles la

14、borent en retour des Recommandations sur ces thmes. Lapprobation des Recommandations par les Membres de lUIT-T seffectue selon la procdure dfinie dans la Rsolution 1 de lAMNT. Dans certains secteurs des technologies de linformation qui correspondent la sphre de comptence de lUIT-T, les normes ncessa

15、ires se prparent en collaboration avec lISO et la CEI. NOTE Dans la prsente Recommandation, lexpression “Administration“ est utilise pour dsigner de faon abrge aussi bien une administration de tlcommunications quune exploitation reconnue. Le respect de cette Recommandation se fait titre volontaire.

16、Cependant, il se peut que la Recommandation contienne certaines dispositions obligatoires (pour assurer, par exemple, linteroprabilit et lapplicabilit) et considre que la Recommandation est respecte lorsque toutes ces dispositions sont observes. Le futur dobligation et les autres moyens dexpression

17、de lobligation comme le verbe “devoir“ ainsi que leurs formes ngatives servent noncer des prescriptions. Lutilisation de ces formes ne signifie pas quil est obligatoire de respecter la Recommandation. DROITS DE PROPRIT INTELLECTUELLE LUIT attire lattention sur la possibilit que lapplication ou la mi

18、se en uvre de la prsente Recommandation puisse donner lieu lutilisation dun droit de proprit intellectuelle. LUIT ne prend pas position en ce qui concerne lexistence, la validit ou lapplicabilit des droits de proprit intellectuelle, quils soient revendiqus par un membre de lUIT ou par une tierce par

19、tie trangre la procdure dlaboration des Recommandations. A la date dapprobation de la prsente Recommandation, lUIT navait pas t avise de lexistence dune proprit intellectuelle protge par des brevets acqurir pour mettre en uvre la prsente Recommandation. Toutefois, comme il ne sagit peut-tre pas de r

20、enseignements les plus rcents, il est vivement recommand aux dveloppeurs de consulter la base de donnes des brevets du TSB sous http:/www.itu.int/ITU-T/ipr/. UIT 2007 Tous droits rservs. Aucune partie de cette publication ne peut tre reproduite, par quelque procd que ce soit, sans laccord crit prala

21、ble de lUIT. Rec. UIT-T X.1035 (02/2007) iii TABLE DES MATIRES Page 1 Domaine dapplication 1 2 Rfrences normatives 1 3 Dfinitions 1 4 Abrviations et acronymes . 1 5 Conventions 1 6 Description du protocole. 2 7 Considrations relatives la scurit 3 Bibliographie 5 iv Rec. UIT-T X.1035 (02/2007) Introd

22、uction Il est bien connu que, bien quil assure la confidentialit totale vers lavant, lchange de cls de Diffie-Hellman est expos lattaque de lintercepteur. Plusieurs mthodes permettent de limiter ces attaques. Certaines reposent sur le chiffrement de cls publiques, tandis que dautres sont fondes sur

23、des secrets partags (mots de passe). La prsente Recommandation contient un protocole de ce second type. En particulier, la mthode dauthentification propose permet de protger lchange contre lattaque de lintercepteur. Lauthentification repose sur un secret potentiellement faible partag au pralable qui

24、 est cach (cest-dire, qui nest pas rvl) un intrus, ce qui carte le risque dattaque par dictionnaire hors connexion. Ce protocole peut donc tre utilis pour des applications trs diverses pour lesquelles des secrets partags au pralable (par exemple des mots de passe) sont utiliss. Le protocole dchange

25、de cls avec authentification par mot de passe prsente les avantages suivants: assure un change de cls fortes avec des mots de passe faibles; permet de djouer les attaques de lintercepteur; permet une authentification mutuelle explicite; garantit la confidentialit totale vers lavant. Les documents nu

26、mrs dans la bibliographie contiennent des informations supplmentaires sur ce protocole. Rec. UIT-T X.1035 (02/2007) 1 Recommandation UIT-T X.1035 Protocole dchange de cls avec authentification par mot de passe 1 Domaine dapplication La prsente Recommandation dcrit le protocole dchange de cls avec au

27、thentification par mot de passe qui respecte les prescriptions suivantes: permet une authentification mutuelle sur la base dun mot de passe partag au pralable; assure une protection contre lattaque de lintercepteur et lattaque par dictionnaire hors connexion. La prsente Recommandation contient galem

28、ent des lignes directrices concernant le choix des paramtres pour lchange de cls de Diffie-Hellman. 2 Rfrences normatives La prsente Recommandation se rfre certaines dispositions des Recommandations UIT-T et textes suivants qui, de ce fait, en sont partie intgrante. Les versions indiques taient en v

29、igueur au moment de la publication de la prsente Recommandation. Toute Recommandation ou tout texte tant sujet rvision, les utilisateurs de la prsente Recommandation sont invits se reporter, si possible, aux versions les plus rcentes des rfrences normatives suivantes. La liste des Recommandations de

30、 lUIT-T en vigueur est rgulirement publie. La rfrence un document figurant dans la prsente Recommandation ne donne pas ce document, en tant que tel, le statut de Recommandation. TIA 683-D Norme TIA-683-D (2006), Over-the-Air Service Provisioning of Mobile Stations in Spread Spectrum Systems. 3 Dfini

31、tions Aucune. 4 Abrviations et acronymes La prsente recommandation utilise les abrviations et acronymes suivants: PAK change de cls avec authentification par mot de passe (password-authenticated key exchange) PW mot de passe (password) SHA algorithme de hachage scuris (secure hash algorithm) WLAN rs

32、eau rgional radiolectrique (wireless local area network) 5 Conventions Les conventions ci-aprs sont utilises dans la prsente Recommandation: a mod b dsigne le plus petit reste non ngatif lorsque a est divis par b; Hi(u) dsigne une fonction de hachage convenue (par exemple, base sur lalgorithme de ha

33、chage scuris n 1 SHA-1) calcule sur une chane u, o i = 1, 2, 3, . les diffrentes fonctions Hi() se comportent comme des fonctions alatoires indpendantes. Il est recommand dutiliser des fonctions alatoires diffrentes dans le protocole dchange de cls avec authentification par mot de passe afin daccrot

34、re la scurit de celui-ci; 2 Rec. UIT-T X.1035 (02/2007) s|t dsigne la concatnation des chanes s et t. 6 Description du protocole Pour la concordance de cls de Diffie-Hellman, lexpditeur et le destinataire dun message doivent crer leurs propres nombres alatoires secrets et changer leurs nombres respe

35、ctifs levs une certaine puissance. En levant la valeur change la puissance correspondant leurs nombres alatoires secrets, les deux parties peuvent calculer la mme cl de Diffie-Hellman secrte partage. Dans le cadre du protocole dchange de cls avec authentification par mot de passe, deux parties, A et

36、 B, communiquent et partagent un mot de passe secret PW. On choisit les constantes globales de Diffie-Hellman connues de tous, un nombre premier p et un gnrateur g en prenant garde que les conditions suivantes soient respectes: 1) pour tre sr, un nombre premier p doit tre suffisamment grand pour qui

37、l soit impossible de calculer le logarithme discret; 2) les puissances de g modulo p couvrent tous les p-1 entiers compris entre 1 et p-1. Au dpart, A choisit un exposant secret RAet calcule pgARmod ; B choisit un exposant secret RB et calcule p gBRmod . Par souci defficacit, des exposants courts po

38、urraient tre utiliss pour RAet RB, sous rserve quils aient une longueur minimale donne. Dans les tapes qui suivent, toutes les oprations de multiplication devraient se faire avec mod p, de sorte que toutes les valeurs changes entre les parties qui communiquent ne soient pas suprieures p. Par consque

39、nt, toutes les oprations de division devraient elles aussi tre effectues avec mod p. Ensuite 1) A entame lchange en choisissant un exposant RAalatoire et en envoyant la grandeur )mod()|(1pgPWBAHXAR= B; 2) Lorsquil reoit cette grandeur, B vrifie que X nest pas gale zro puis la divise par )|(1PWBAH af

40、in de retrouver pgARmod . B choisit ensuite un exposant RBalatoire et calcule )mod)|(|mod|)|(|(1131= pPWBAHXpgPWBAHXPWBAHSBBRRet )mod()|(2pgPWBAHYBR= . B envoie A un message contenant les deux grandeurs S1 et Y. 3) Lorsquil a reu ce message et aprs avoir vrifi que Y nest pas gale zro, A peut authent

41、ifier B en retrouvant ce que devrait tre pgBRmod et en calculant S1 lui-mme. Si le rsultat est gal la valeur reue, A calcule la cl )mod)|(|)|(|mod|(225= pPWBAHYPWBAHYpgPWBAHKAARR. Pour sauthentifier et achever lchange, A calcule galement la grandeur )mod)|(|)|(|mod|(2242= pPWBAHYPWBAHYpgPWBAHSAARRet

42、 lenvoie B. Rec. UIT-T X.1035 (02/2007) 3 4) B authentifie A en calculant2S lui-mme et en comparant la valeur celle reue de A. Si ces deux valeurs sont identiques, B calcule lui aussi la cl )mod)|(|mod|)|(|(115= pPWBAHXpgPWBAHXPWBAHKBBRR. Si lune des vrifications mentionnes ci-dessus ne donne pas le

43、 rsultat escompt, le protocole sarrte. Sinon, les deux parties se sont mutuellement authentifies et ont cr la cl. Les tapes indiques ci-dessus sont rcapitules dans la Figure 1, o P dsigne A|B|PW (P = A|B|PW) et o certaines formules ont t simplifies. Partie A Partie B )mod()(1pgPHXAR= XVrifier que la

44、 valeur reue nest pas gale 0 pgPHpgPHARARmod)()mod()(11=)mod|mod|mod|(31pgpgpgPHSBRARBRAR=Calcule S1et vrifie quelle est gale la valeur reue de B pour S1YS ,1)mod()()mod|mod|mod|(231pgPHYpgpgpgPHSBRBRARBRAR=)mod|mod|mod|(42pgpgpgPHSBRARBRAR=2S)mod|mod|mod|(42pgpgpgPHSBRARBRAR=Calcule S2et vrifie que

45、lle est gale la valeur reue de A pour S2)mod|mod|mod|(5pgpgpgPHKBRARBRAR=)mod|mod|mod|(5pgpgpgPHKBRARBRAR=Figure 1 Description du protocole dchange de cls avec authentification par mot de passe 7 Considrations relatives la scurit Le prsent paragraphe porte sur les aspects lis la scurit du protocole

46、dchange de cls avec authentification par mot de passe. En particulier, il contient des lignes directrices concernant le choix des paramtres de Diffie-Hellman. Seules les valeurs des paramtres p et g convenues au pralable devraient tre utilises dans le cadre du protocole dchange de cls avec authentif

47、ication par mot de passe. Cette prcaution est ncessaire pour se prmunir contre un intrus qui enverrait des valeurs p et g errones et tromperait ainsi lautre partie avec une lvation la mauvaise puissance pour lchange Diffie-Hellman. Lutilisation de paramtres p et g qui ne sont pas conformes aux prescriptions dcrites dans la prsente Recommandation risque dentraner la compromission du mot