SKEME — криптографический протокол распространения ключей, созданный в 1996 году Хьюго Кравчиком(англ. Hugo Krawczyk). Он позволяет двум сторонам получить общий секретный ключ, используя незащищённый канал связи.

Протокол SKEME послужил основой для протокола IKE [1], определённого в RFC 2409.

Основные свойства протокола

  • аутентификация собеседников — уверенность в том, кто является собеседником [2];
  • perfect forward secrecy (PFS) — потеря секретных ключей не ведёт к компрометации прошлой переписки [3];
  • возможность отречения — третье лицо не сможет доказать, что сообщения написаны кем-либо другому адресату [4];
  • strong secrecy — злоумышленник не может детектировать изменение секретного ключа [5];
  • гибкость — четыре возможных режима работы позволяют достичь компромисса между производительностью и безопасностью [6].

Режимы и этапы


Для описания протокола используются следующие обозначения:

  • [math]\displaystyle{ PKE_A(arg) }[/math] — шифрование сообщения [math]\displaystyle{ arg }[/math] с открытым ключом, принадлежащим стороне A;
  • [math]\displaystyle{ H(arg) }[/math] — вычисление криптографической хеш-функции с аргументом [math]\displaystyle{ arg }[/math];
  • [math]\displaystyle{ F_K }[/math] — псевдослучайная функция с ключом [math]\displaystyle{ K }[/math], результат вычисления которой нельзя предсказать без знания ключа;
  • [math]\displaystyle{ id_A, id_B }[/math] — идентификаторы сторон A и B соответственно;
  • [math]\displaystyle{ g, p }[/math] — генератор и модуль соответственно, используемые в протоколе Диффи — Хеллмана.

Базовый режим

Первый этап

Во время первого этапа стороны A и B получают эфемерный ключ [math]\displaystyle{ K_0 }[/math], зная открытые ключи друг-друга [7]. Для этого они обмениваются «половинками ключа», зашифрованными открытыми ключами друг-друга, а затем комбинируют «половинки» при помощи хеш-функции.

[math]\displaystyle{ A \longrightarrow B \colon PKE_B(K_A) }[/math]
[math]\displaystyle{ B \longrightarrow A \colon PKE_A(K_B) }[/math]
[math]\displaystyle{ K_0 = H(K_A, K_B) }[/math]

Значения [math]\displaystyle{ K_A }[/math] и [math]\displaystyle{ K_B }[/math] должны быть выбраны случайным образом[8]. Если сторона A следует протоколу, то она может быть уверена в том, что эфемерный ключ [math]\displaystyle{ K_0 }[/math] неизвестен никому, кроме B. Аналогично, сторона B может быть уверена в том, что эфемерный ключ не знает никто, кроме A[9].

Второй этап

На втором этапе стороны используют протокол Диффи — Хеллмана[10]. Сторона А выбирает случайное число [math]\displaystyle{ x }[/math] и вычисляет значение [math]\displaystyle{ g^{x} \bmod p }[/math]. Сторона B выбирает случайное число [math]\displaystyle{ y }[/math] и вычисляет значение [math]\displaystyle{ g^{y} \bmod p }[/math]. После этого, стороны обмениваются вычисленными значениями.

[math]\displaystyle{ A \longrightarrow B \colon g^{x} \pmod {p} }[/math]
[math]\displaystyle{ B \longrightarrow A \colon g^{y} \pmod {p} }[/math]

Третий этап

На третьем этапе происходит аутентификация [math]\displaystyle{ g^{x} }[/math] и [math]\displaystyle{ g^{y} }[/math], переданных во время второго этапа, с использованием эфемерного ключа [math]\displaystyle{ K_0 }[/math], полученного на первом этапе.

[math]\displaystyle{ A \longrightarrow B \colon F_{K_0}(g^{y}, g^{x}, id_A, id_B) }[/math]
[math]\displaystyle{ B \longrightarrow A \colon F_{K_0}(g^{x}, g^{y}, id_B, id_A) }[/math]

Включение [math]\displaystyle{ g^{x} }[/math] в первое сообщение позволяет стороне B убедиться в том, что значение [math]\displaystyle{ g^{x} }[/math] на втором этапе было действительно передано стороной A[11]. Значение [math]\displaystyle{ g^{y} }[/math] в этом же сообщении позволяет B защититься от атаки повторного воспроизведения[12].

Генерация сессионного ключа

Результатом выполнения протокола является сессионный ключ, вычисляемый как [math]\displaystyle{ SK = H(g^{xy} \bmod {p}) }[/math][13].


Режим SKEME без PFS предоставляет возможность обмена ключами без вычислительных затрат, необходимых для обеспечения PFS [14]. Для этого на втором этапе вместо значений [math]\displaystyle{ g^{x} }[/math] и [math]\displaystyle{ g^{y} }[/math], стороны посылают друг-другу случайные числа [math]\displaystyle{ nonce_A }[/math] и [math]\displaystyle{ nonce_B }[/math].

[math]\displaystyle{ A \longrightarrow B \colon nonce_A }[/math]
[math]\displaystyle{ B \longrightarrow A \colon nonce_B }[/math]

Третий этап тоже модифицируется. Аргументы функции [math]\displaystyle{ F_{K_0} }[/math] меняются с [math]\displaystyle{ g^{x} }[/math] и [math]\displaystyle{ g^{y} }[/math] на [math]\displaystyle{ nonce_A }[/math] и [math]\displaystyle{ nonce_B }[/math] соответственно.

[math]\displaystyle{ A \longrightarrow B \colon F_{K_0}(nonce_B, nonce_A, id_A, id_B) }[/math]
[math]\displaystyle{ B \longrightarrow A \colon F_{K_0}(nonce_A, nonce_B, id_B, id_A) }[/math]

Данная модификация второго и третьего этапа позволяет сторонам убедиться в том, что ключ [math]\displaystyle{ K_0 }[/math], полученный на первом этапе, известен обеим сторонам. [15].

Результатом выполнения протокола в данном режиме является сессионный ключ, вычисляемый как [math]\displaystyle{ SK = F_{K_0}(arg) }[/math], где [math]\displaystyle{ arg = F_{K_0}(nonce_B, nonce_A, id_A, id_B) }[/math] [16].

Pre-shared key и PFS

В данном режиме предполагается, что сторонам уже известен секретный ключ (например, ключ задан вручную), и они используют этот ключ для того, чтобы получить новый сессионный ключ [17]. В этом режиме первый этап можно пропустить и использовать секретный ключ вместо [math]\displaystyle{ K_0 }[/math]. В этом режиме обеспечивается perfect forward secrecy [18].

Сессионный ключ в данном режиме вычисляется так же, как в базовом [19].

Fast Re-Key

Fast Re-Key — самый быстрый режим протокола SKEME [20]. Этот режим позволяет часто обновлять ключ без вычислительных затрат на асимметричное шифрование и на использование протокола Диффи — Хеллмана [21].

В этом режиме предполагается, что ключ [math]\displaystyle{ K_0 }[/math] известен сторонам с предыдущего раунда протокола. Первый этап пропускается, а второй и третий этап, а также вычисление сессионного ключа выполняются так же, как в режиме SKEME без PFS [22].


