JP5306678B2 - スローチャネル上の高速認証 - Google Patents

スローチャネル上の高速認証 Download PDF

Info

Publication number
JP5306678B2
JP5306678B2 JP2008065325A JP2008065325A JP5306678B2 JP 5306678 B2 JP5306678 B2 JP 5306678B2 JP 2008065325 A JP2008065325 A JP 2008065325A JP 2008065325 A JP2008065325 A JP 2008065325A JP 5306678 B2 JP5306678 B2 JP 5306678B2
Authority
JP
Japan
Prior art keywords
user
key
stamp
computer
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2008065325A
Other languages
English (en)
Other versions
JP2008228309A (ja
Inventor
バルファンス ディルク
ジャン ポール ゴール フィリップ
ケイ スメターズ ダイアナ
イー ダフィー グレン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Samsung Electronics Co Ltd
Original Assignee
Samsung Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Samsung Electronics Co Ltd filed Critical Samsung Electronics Co Ltd
Publication of JP2008228309A publication Critical patent/JP2008228309A/ja
Application granted granted Critical
Publication of JP5306678B2 publication Critical patent/JP5306678B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Description

自己防御型ボイス・オーバー・インターネット・プロトコル(VoIP)通話に対する1つの手法は、ユーザがその公開鍵を、VoIP音声ストリームに埋め込まれた「ウォーターマーク」として伝送することを含む。このシステムは、ユーザの音声の周波数帯域を操作して、受信側エンドポイントがこの周波数を一連のビットにデコードできるようにする。幾つかの場合においては、これらのニットは、公開鍵のハッシュを構成する。このハッシュは、以前に交換された公開鍵のハッシュを表わすことができる。
例えば、ユーザAとユーザBとが高速チャネルにおいて公開鍵を交換する。「チャネル」という用語は、物理チャネル上の特定の帯域幅を含むことができるに過ぎない。ユーザAがユーザBを読み出すとき、ユーザAの伝送側エンドポイントは、ユーザAの音声信号を、ユーザBが通話を切ってしまう点まで低下させることなく、ユーザBにおける受信側エンドポイントが一連のビットを信号からデコードすることを可能にするようにユーザAの音声の周波数を操作する。この例においては、一連のビットはユーザAの公開鍵のハッシュを構成する。ユーザBは、このハッシュを用いてユーザAの公開鍵の第2の事例を獲得し、次いで、第2の事例を、以前に獲得された第1の事例と比較して、ユーザAが本当にユーザAであることを確認することができる。
この手法の脆弱性は、公開鍵のハッシュの伝送は「スロー」チャネルで行われるために生じることになる。「スロー」チャネルは、実際には、高速チャネルと同じ物理チャネルとすることができ、これは単に、刻印付けプロセスの性質のために、はるかに低速の帯域幅で用いられるものである。低速の伝送のために、中間にいる人間は、ユーザAのハッシュと一致しないハッシュを生成することができ、次いで、完全な刻印付けが行われる前に、これを用いて会話に侵入することができる。刻印付けの伝送にかかる時間が長ければ長いほど、攻撃者は、その存在が検出されるまで、会話を首尾よく攻撃できる時間が長くなる。高速認証を用いる能力は、攻撃の窓を短くして、攻撃の高速識別を可能にする。
図1は、ボイス・オーバー・インターネット・プロトコル(VoIP)ネットワークの一例を示す。ここで用いられるVoIPは、データネットワーク読び出し上のあらゆる音声を指す。電話12におけるユーザAが電話24におけるユーザBに電話をかけるためには、2つの電話は互いを見出して、信号通知情報を運ばなければならない。2つのエンドポイント12及び14は、それぞれのVoIPプロバイダ16及び22に登録する。ユーザAがユーザBを呼び出すとき、ユーザAのVoIPプロバイダ16はユーザBのプロバイダ22に連絡する。VoIPプロバイダ22は、ユーザBの位置を知っており、呼び出しをユーザBの電話24に転送する。この設定及び転送は、信号通知経路を形成する。
ユーザBが呼び出しに応えると、エンドポイント12及び24は、オーディオデータを供給するための「直接」接続又は媒体経路を設定する。ユーザAの電話からVoIPプロバイダ16への呼び出しは14のような1つ又はそれ以上のルータを通って移動できることに注目されたい。信号通知経路は、さらに、18及び22といった1つ又はそれ以上のルータを含むことができる。媒体経路は、VoIPプロバイダがもはや接続に参加しないことによる「直接」接続を形成することができ、接続はさらに、呼び出しにおいて28及び30といった1つ又はそれ以上のルータを含むことができる。
ルータのような幾つかの異なる中間点を含む経路の開かれた性質のため、信号通知経路及び媒体経路の両方とも、攻撃者に対して脆弱性を有する。1つの解決法は、公開鍵基盤(PKI)を含む。しかし、2人のユーザは、通常、同じシステム内のユーザのために確保されている同じPKIに参加しなければならない。ユーザが同じシステム内にいる場合には、システムは閉鎖されており、通常、エンド・ツー・エンドのセキュリティが存在する。
こうしたPKIがない開システムにおいては、ユーザは「鍵交換」を実行することができる。こうした鍵交換においては、ユーザは、公開鍵及び私用鍵という2つの鍵を有する。ユーザは、公開鍵を、ユーザ保護情報を送信することを望む当事者に与える。送信者は、受信ユーザの公開鍵により情報をエンコードして、ユーザが私用鍵により情報をデコードできるようにする。情報交換のためには、両方のユーザは、相手に各自のユーザの公開鍵を与えなければならない。
送信者と受信者との間に鍵交換のための前もって手はずが整えられた保護チャネルがある場合には、エンド・ツー・エンドのセキュリティが提供される。しかし、VoIPが普及するにつれて、より多くのユーザは、前もって手はずが整えられた鍵交換なしで、より多くの受信者を呼び出すようになり、エンド・ツー・エンドのセキュリティを得るためには認証されていない鍵交換を使用しなければならない。現在の技術の状況においては、こうした認証されていない鍵交換は、MIM攻撃を受けやすい。
本開示は、PKI又は前もって手はずが整えられた保護チャネルなしで、鍵交換を安全に実行することができるシステムを説明する。図2は、ユーザが、前もって手はずが整えられたセキュリティ又はPKIが存在しないコンテキストにおいて鍵を交換するプロセスの一例を示す。ここで用いられる鍵という用語は、公開/私用鍵の対、鍵のハッシュを含む鍵についての情報、ナンス、証明書、エラー修正を含む鍵を含む保護通信に用いられるあらゆる種類のエンコード化方策或いは別のものを含む。
システムは、鍵交換を認証するために、データストリームにおいて鍵刻印と呼ばれるものを用いる。鍵刻印は、特定の状況における中間にいる人間の攻撃を検出することを可能にする。リアルタイムのオーディオ会話はこうした状況の1つである。鍵刻印は、人間に依存しており、リアルタイムでオーディオデータを消費し、そうしている間にコンテンツの確実性を検証しており、例えば、音声がまさに予測される呼び出し者のものであり、彼又は彼女が(呼び出し者の音声の録音ではなく)自然に会話に参加するかどうかを検証する。
鍵刻印は、攻撃者が刻印を除去するのが困難であろうことにより、当該技術分野においてウォーターマークとして知られるものと同様である。しかし、ウォーターマークとは異なる点も幾つかある。例えば、鍵刻印は、データストリームにおいて目立つものとすることができ、鍵刻印付けされたオーディオは元のオーディオとは異なるように聴こえるとすることができる。刻印の変更又は鍵が刻印付けされたオーディオストリームへの第2刻印の追加は、オーディオストリームのようなデータストリームの品質を実質的に劣化させるものとなる。
ここで用いられる鍵刻印という用語は、公開/私用鍵の対を含む鍵又は鍵関連の情報、鍵のハッシュを含む鍵についての情報、ナンス、証明書、エラー修正を含む鍵をエンコードするのに用いられるあらゆる種類の方策を含むことができる。
図2においては、ユーザBは、ユーザAからの、オーディオストリームのような経験的なデータストリーム及び鍵刻印の両方を含む、入ってくる認証データストリームを受信する。42において、ユーザBは、後述する多数の方法の1つにおいて刻印付けされるユーザAに関連する刻印を抽出する。システムは、44において、通話のような経験的なデータストリームをユーザBに提示する。ユーザBが応答すると、彼の電話は出て行くデータストリームを生成する。このシステムは、出て行くデータストリーム及びユーザBの鍵を取り上げ、48において第2刻印を生成し、50において出て行く認証データストリームを生成する。
本発明の1つの実施形態においては、入ってくるデータストリームから抽出された刻印は、ユーザAの公開鍵を含む。この刻印を用いて、システムは、次いで、52において、ユーザAの公開鍵を用いて、出て行く認証された(刻印付けされた)データストリームを保護して、54において、出て行く刻印付けされたデータストリームをユーザAに対して暗号化する。
図3は、送信者の観点からの通信を保護するための方法の一例を示す。60において、ユーザAは接続を開始する。62において、ユーザAは、刻印を生成する。ユーザの電話すなわちシステム12は、多数の方法のうちの1つにより刻印を生成することができる。
第1の例において、システムは、ユーザの音声信号を、高周波数サブバンド及び低周波数サブバンドに分割する。幾つかの所定の間隔において、システムは、ユーザAの音声の高い又は低い周波数だけを伝送する。単純化された例においては、ユーザAの公開鍵がビット0−1−1−0のシーケンスで開始すると仮定する。システムは、低周波数部分のみを100ミリ秒(msec)だけ伝送し、次いで、高周波数部分のみを200msecだけ伝送し、次いで、低周波数部分のみを100msecだけ伝送する。受信側システムは、特定の部分において受信された周波数に対する周波数分析を実行し、0−1−1−0の刻印を抽出することができる。
MIM攻撃に対しては、攻撃者は、彼の公開鍵に適合するようにビットの順番を変更しなければならない。例えば、攻撃者が0−0−1−0の鍵を用いる場合には、ユーザAの音声の高周波数を、同じ発音を表わす対応するユーザAの音声の低周波数と置き換えなければならない。ストリームの第2部分のこの低周波数情報は、ユーザAは第2部分に対しては高周波数しか伝送しないため、ストリームには存在しない。MIM攻撃者は、第1部分に対する分析を実行して、第2の10分の1又はそれより少ない第2部分の低周波数に近似させなければならず、これは不可能ではないが困難な作業である。
付加的なセキュリティ手段は、受信されるデータストリームは、人間のユーザにより経験される「経験的」ストリームであるため、このシナリオにおいて生じる。通話の場合においては、ユーザは、オーディオ対話を経験する。ユーザBは、ユーザAの音声のストリームの第2部分が第1のものと適合しない場合は気が付く。適合は、低及び高周波数サブバンドの適合を指すわけではなく、ユーザAの音声の適合ほどのものである。オーディオ信号は、欠けているサブバンドのために幾分劣化するが、ユーザBは依然としてユーザAの音声を認識する。
このようにして、ユーザは、信号の質により、より直観的な方法で、データストリームのセキュリティを監視することができる。他の技術は、ユーザは、メタデータで交換された識別情報が、ユーザが話している人に対する当事者のメタデータと実際に適合することを保証しなければならないといったような、攻撃を認識するのに高度の素養及び知識があることを必要とする。確かに、ここで始まる手法においては、ユーザは、MIM攻撃者により生成されたオーディオ信号の低品質に実際に反応し、どのようなセキュリティがなくても電話の呼び出しを切ることができる。
しかし、実施においては、ユーザの音声の周波数スペクトルの下方半分又は上方半分のみを用いることは、別の音声を認識することを困難にする。周波数スペクトルを「歯」に分割するために周波数くしを用いることにより、この問題を緩和することができる。図4は、この送信プロセスの一例を示す。
80において、ユーザAは発話して、オーディオサンプルをシステムに入力に与える。フィルタスケジューラ又はコントローラ82は、各々がオーディオサンプルからある帯域の周波数を抽出する有限インパルス応答(FIR)のような一対の周波数ドメインンフィルタ84にオーディオサンプルを向ける。
その間、システムは、86において、入力として鍵ビットストリームを受信する。鍵ビットストリームは、88において、周波数のサブバンドを選択するようにデータを与える。一例においては、システムは、サブバンドが8帯域の周波数を有するように、サブバンド1、3、5、及び7を1つの群に入れ、2、4、6、及び8を別の群に入れて、サブバンドの隣接する群が別個の群に入れられるように群に分ける。システムは、次いで、90において、伝送のために、帯域を単一の「偶数」組み合わせストリームと単一の「奇数」組み合わせストリームに組み合わせる。所定の時間間隔における偶数の組み合わせのような1つの組み合わせの伝送は「0」をもたらし、奇数の組み合わせは「1」をもたらす。このようにして、刻印付けされたオーディオストリームは、周波数の大きい「チャンク」を欠くことによる劣化をそれほど受けず、よりスムーズなオーディオ伝送をもたらす。
さらに別のセキュリティ手段として、システムは、幾つかの音素にわたり刻印の1つのビットを刻印することができる。例えば、MIMがBの公開鍵を彼自身のものと置き換えたMIM攻撃を考える。MIMはここで、適合のために、Bから入ってくるオーディオの刻印を変更する必要がある。概して、MIMの鍵指紋のビットの半分は、ユーザBがオーディオ上に残した刻印と異なる。ユーザBの代わりに攻撃者が彼の刻印を送信できる1つの方法は、Bの刻印におけるビットに、攻撃者の刻印におけるビットと合うものとあるときはいつでも、ユーザBの修正されていないオーディオを送信し、ビットが適合しない場合には、攻撃者が選択したビットをエンコードするBobからのより古いオーディオを送信することである。
ユーザAが受信するオーディオは、劣化が少ない正しいオーディオのようなものに聴こえる。受信側電話は不一致に気づかないが、それは1つもないためであり、MIMは成功したことになる。
これに対抗するものとして、システムは、幾つかの音素にわたり1ビットを刻印することができる。自然言語においては、音素は、100ミリ秒より長く続くことは稀である。攻撃者がBの刻印から彼の刻印に変更したい場合には、聴こえるオーディオは、繰り返され、独立して混乱させるような言葉を有することができる。ユーザは単に電話を切るであろう。幾つかの音素にわたる刻印付けは、MIM攻撃中のオーディオストリームの劣化をもたらして、ユーザにセッションを終わらせるようにする。
媒体経路においては、次いで、2つの「経路」又はチャネルがある。一組のプロトコル及び伝送帯域割り当ては、一般に媒体の伝送前に、高速であるが安全ではない伝送を可能にする。媒体ストリーム上に刻印され、伝送されるデータは、実際のセキュリティデータは、はるかに低速で移動するために「低速」経路を含む。実際上、これらの経路は一般に同じであり、変化するのは伝送速度及びメッセージのセキュリティだけである。
システムは、パケット損失問題を避けるために、送信側と受信者との間で同期する必要があるとすることができる。1つの実施形態は、刻印に索引付けするためにパケットに関連するタイムスタンプを採用する。SRTP(防御型リアルタイム転送プロトコル)といった多数のプロトコルは、特定のストリームにおけるパケットの位置の識別を可能にするタイムスタンプを採用する。これらのタイムスタンプは、システムが、鍵指紋のどのビットが実際に受信されたパケットに刻印付けされたかを追跡するのにタイムスタンプを用いることを可能にする。
送信側及び図3に戻ると、システムが62で刻印を生成すると、第1刻印をもつ送出ストリームは64において伝送される。ユーザBにおけるレシーバは、図2に関して説明されたものと同様なプロセスを受けて、66において、ユーザAによる入ってくるストリームを結果として受信する。入ってくるストリームは、ユーザAの公開鍵を用いて保護される。ユーザAにおけるシステムは、次いで、ユーザAの私用鍵を用いてストリームをデコードする。次いで、第2刻印が68においてストリームから抽出される。本発明の一実施形態においては、第2刻印の抽出は、ユーザAにユーザBの鍵を与える。ユーザAがユーザBの鍵を抽出すると、ユーザAは70においてユーザBの鍵を用いて安全に伝送することができる。
刻印の1つの実施形態においては、以前に交換された鍵を用いることを含むことができる。例えば、ユーザA及びユーザBが、媒体経路以外のチャネルにおいて、又は、媒体ではない他のプロトコルを用いる媒体経路において「帯域外」の鍵を交換する場合には、刻印は、ユーザが、通信の他方の側にいる人が正しい鍵を使用しているかどうか検証することを可能にする。例えば、ユーザA及びユーザBは、高速であるが安全ではないチャネル上で鍵を交換する。ユーザAは、次いで、ユーザBの鍵を用いて伝送し始める。伝送において、ユーザAは、ユーザAの鍵のハッシュを刻印する。刻印を用いることにより、ユーザBのシステムは、出て行く認証された(刻印付けされた)データストリームを、図2のステップ52において、刻印から抽出されたハッシュが、出て行くデータストリームを暗号化するのに用いられた鍵のハッシュと適合することを保証することにより、保護する。
刻印の別の実施形態は、ユーザA及びBが、MIKEYマルチメディア・インターネット・キーイング・プロトコルのDiffie−Hellmanモードに見出されるもののような鍵一致プロトコルメッセージを認証するのに以前に用いた鍵を用いることを含む。こうした実施形態においては、ユーザA及びBは、最初に鍵一致プロトコルを使用して、私用署名鍵でそれぞれの鍵一致メッセージに署名し、公開署名鍵と併せて他の当事者に送信する。これらは次いで、公開署名鍵又はそのハッシュをそれらのオーディオストリームに刻印する。図5に戻ると、92において、ユーザBのシステムは、刻印として受信した鍵が、他の当事者が本当にユーザAであることを保証する彼の鍵一致メッセージを認証するのに用いられた鍵Aと適合するかどうか判断する。当事者が本当にユーザAである場合には、スリームは94においてユーザに提示され、他の当事者がユーザAではない場合には、接続は96において終了される。
このシナリオにおいては、MIMは、正当なユーザにより用いられる鍵と同じ刻印にハッシュする公開鍵を生成することにより媒体ストリームを攻撃することができる。攻撃者は、オーディオ上の刻印を全く変える必要がない。1つの実施においては、システムは、公開鍵の160ビットのSHA−1(防御型ハッシュ・アルゴリズム)ハッシュを用いることができる。攻撃者が、所与の公開鍵と同じ値にハッシュする公開鍵を生成する最も知られた方法は、ブルートフォースを用いるものである。
上述のシステムにおいて、低速の刻印が用いられる場合には、160ビットの刻印は、他の当事者に伝送されるまで比較的長い時間がかかる。1ビットの刻印当たり0.5秒を仮定した場合には、80秒のスピーチは160ビットを伝送する。しかし、1人のスピーカーは、一般に、会話において時間の半分しか話さず、刻印ビットが伝送されない沈黙間隔が生じ、両方のスピーカーが彼らの鍵を伝送するのに実際にかかる時間は、160ビット×0.5秒/ビット×2×1.2(20%の沈黙を仮定する)=192秒、すなわち3分より多い時間になる。
3分はむしろ長時間である。沈黙及びスピーカー時間に関して上述のものと同じ仮定を用いると、0.2秒の刻印速度は62ビットのセキュリティを実現し、1鍵刻印当たり0.6秒は30秒の会話において21ビットのセキュリティをもたらす。セキュリティのビット数は、攻撃者が会話に侵入するのに生成しなければならない鍵の数と相関する。21ビットのセキュリティは、攻撃者が212鍵を生成しなければならないことを意味し、62ビットのセキュリティは、261鍵になる。
1024ビットのRSA鍵の対を生成することは、コンピューティングパワーを多量に消費する。4GhzPentium(登録商標)では、1つの鍵の対を生成するのに約100ミリ秒かかる。正しい最初の10ビットにハッシュする公開鍵を見出すためには、平均すると212/2−2048の試行を必要とし、およそ20秒の呼び出し設定遅延を導入する。こうした遅延に応答して、ほとんどのユーザは呼び出しを止める。
一般に、鍵の対をその場で生成しなければならないコンピューティング程度のために、攻撃者は、特定の値にハッシュする鍵を見出す迅速なアクセスのために公開鍵の大きい表を生成するであろう。例えば、10ビットのセキュリティは、128KBのメモリ内に格納可能な210鍵を必要とする。20ビットのセキュリティは、128MBの格納部、30ビットのセキュリティは128GBの格納部、40ビットのセキュリティは128テラバイトの格納部、及び50ビットのセキュリティは128ペタバイトの格納部を必要とする。現行の格納能力は、2040の鍵より多く格納することを、攻撃者にとって実行不可能なものにする。このことは、48秒の会話長に対応し、この後で、ユーザは攻撃を妨害したことを確認できる。
ユーザが高速チャネル上で鍵を交換し、次いで、彼らの鍵を低速で媒体ストリーム上に刻印付けする上述の実施においては、MIM攻撃者はこのハッシュを用いて、正当なユーザのハッシュと一致しない公開鍵を選択することができる。受信された各々の付加的な刻印ビットは、攻撃者が刻印不一致攻撃を首尾よく開始する可能性を50パーセントだけ減少させる。
Figure 0005306678
が連接を示すとして、160ビットの値sにおいて
Figure 0005306678
である場合に、刻印生成が公開鍵の「ソルトされた」ハッシュを含むように修正することが可能である。値sは、鍵交換刻印プロトコルの修正形態において交換された
Figure 0005306678
の連接によりもたらされる。
ここで刻印は、通信当事者の鍵だけでなく、ランダムなソルトsにも依存する。通信ピアは、共にソルトを定め、各々は、他方の貢献の学習前にソルトに対する貢献をコミットしなければならない。したがって、攻撃者は、それ自体のソルトにコミットする前にピアのソルトを引き出すことはできない。結果として、攻撃者は、刻印に対する入力への選択すべてが固定されるまで、最終のランダムな刻印がどのようなものになるか予測することができない。攻撃者が、第1のtビット上にユーザの正当な刻印と適合する偽造刻印を生成する可能性は、一様にランダムに選択されたtビットストリングが、2rにおける1などの固定のtビットストリングに適合するのとほぼ同じである。
図6の説明においては、ユーザAが送信側ユーザであり、ユーザBが受信側ユーザであるが、両方の当事者が送受信を行う。当事者の鍵及びランダムな数字を「送信側」及び「受信側」と指定することは、メッセージの進行を明らかにする助けになる。図6は、ユーザAとユーザBとの間のメッセージ図を示し、さらに各々のユーザに対するプロセスを示す。
100において、ユーザAはユーザAのランダム番号のハッシュ(「送信側」ランダム番号)と、ユーザAの鍵(「送信側」鍵)を伝送する。ユーザBは102においてこのメッセージを受信する。ユーザAがハッシュを送信することによりそのランダム番号にコミットしたのを知り、106において、ユーザBはユーザBの鍵(「受信側」鍵)及びユーザBのランダム番号(「受信側ランダム番号」)を伝送する。ユーザAは、104においてこれを受信する。ユーザAは、ユーザBがそのランダム番号にコミットしたことを知り、次いで、108において送信側ランダム番号を伝送し、ユーザBは110においてこれを受信する。
この時点で、両方のユーザは互いの鍵及び両方のソルト又はランダム番号を有する。ランダム番号は、いずれかのユーザの鍵の端部に連接され、次いでエンティティ全体がハッシュされる。これらのハッシュは、ユーザAとユーザBとの間の通信のために112及び114にいて用いられる。MIM攻撃者は、両方の鍵及び両方のランダム番号を知らなければならない。MIMがユーザBを攻撃しようとし、鍵/番号交換中に間違ったランダム番号を送信した場合には、ユーザBはユーザAのハッシュから正しいランダム番号を抽出することはできず、攻撃があったことを知る。
図6に示す最初の2つの交換は、MIKEY交換中に生じることができる。送信側ランダム番号の伝送は、媒体経路における最初のハンドシェイクに加えて生じるであろう。交換は生じるが、ユーザが他のランダム番号を受信する前にコミットしなければならないランダム番号の追加は、低速伝送チャネルにおけるMIM攻撃を妨害する効率的な方法を提供する。
現在、これらのプロセスを実施するシステムは存在するであろうが、単にソフトウェアにその動作をアップデートさせるように要求するに過ぎない。一般に、これらの装置は、コード形態で命令を実行することができるある種のプロセッサを含む。図7は、こうした装置の一例を示す。
装置120は音声エンコーダ122を有する。音声エンコーダは、人間の音声本来のアナログ信号を取り上げて、これらをデジタル化してデジタル信号にする。これらのデジタル化入力オーディオ信号は、次いで、フィルタバンク126又は他のフィルタ処理構造体に移動して、周波数サブバンドに分割される。デジタル化信号をサブバンドに分割する前に、オーディオ信号はセグメント化を受け、各々のセグメントは伝送のために1ビット間隔になるように予め決められた特定の時間の長さに対応する。その時間の長さにおいて、伝送されたサブバンドの組み合わせは1又は0に対応する。
プロセッサ128は鍵ビットストリームに基づいてサブバンドの選択を行う。バッファ124又は他のメモリ構造は、プロセッサへの入力のために鍵ビットストリームを格納してもよいし、又は、プロセッサが他の場所から取り出してもよい。プロセッサ128は、音声ストリーム上で動作して、鍵ビットストリームをこれに刻印し、受信者の公開鍵によりこれをエンコードするなどいずれかのさらに別のセキュリティを行い、データストリームをポート130を通して伝送する。受信装置として、プロセッサは入ってくるストリームを受信し、必要に応じてこれを復号し、刻印を抽出する。プロセッサは、さらに、刻印から抽出された鍵を比較して、これが以前に受信された鍵と適合することを保証する。プロセッサは、さらに、ユニットのソルトの半分を与えるランダム番号ジェネレータ(RNG)132を含むであろう。
上述の例は、経験的なストリームとしてオーディオ音声信号に集中した。しかし、他の経験的なストリームもまたオーディオ/視覚信号、他の種類のオーディオ信号、ビデオ信号等を含むこれらの方法から利益を受ける。どのような制限も上述の例から暗示されるものではないし、類推されるものでもない。
上で開示された幾つか及び他の特徴及び機能又はその代替物は、多数の他の異なるシステム又は用途に望ましく組み合わせることができることが理解される。さらに、そうした現在予期されていない又は予測されていないその代替物、修正、変形、又は改善は、当業者が後で行うことができ、これはさらに特許請求の範囲に含まれることが意図される。
VoIP呼び出しをするのに用いられるVoIPネットワークの一例を示す。 受信側エンドポイントにおける鍵刻印を用いて鍵を受信するための方法の一例を示す。 送信側エンドポイントにおける鍵刻印を用いて鍵を送信するための方法の一例を示す。 鍵刻印を生成するための周波数くし方法の一例を示す。 以前に交換された鍵を検証するのに鍵刻印を用いるための方法の一例を示す。 自己防御型媒体伝送ために鍵及びソルトを交換するための方法の一例を示す。 鍵刻印を用いて鍵交換を実行することができる装置の一例を示す。
符号の説明
10:データネットワーク
12:ユーザA
16:プロバイダ
22:プロバイダ
24:ユーザB
28:ルータA
30:ルータB

Claims (2)

  1. ネットワーク上で保護された通信を提供するための方法であって、
    受信側コンピュータにおいて、第1通信チャネル上で、送信側コンピュータの公開鍵、及び送信側ランダム番号のハッシュを受信し、
    前記受信側コンピュータから、前記第1通信チャネル上で、前記受信側コンピュータの公開鍵、及び、前記受信側コンピュータにより与えられる受信側ランダム番号を伝送し、
    前記受信側コンピュータにおいて、前記第1通信チャネル上で、前記送信側コンピュータにより与えられる前記送信側ランダム番号を受信し、
    前記受信側コンピュータにおいて、セグメント化されたデジタル音声ストリームの複数のセグメントを受信し、各セグメントは、所定の長さの時間に対応し、前記デジタル音声ストリームの周波数サブバンドにわたって刻印される前記送信側コンピュータの前記公開鍵と受信側及び送信側ランダム番号とのソルトされたハッシュで刻印されており、前記デジタル音声ストリームは刻印され、前記送信コンピュータにおいて前記ソルトされたハッシュによって決定されるように、前記セグメントの各々の選択された周波数サブバンドが送信され、前記セグメントの各々の他の周波数サブバンドは送信されず、受信したセグメントの各々は、少なくとも1つの周波数サブバンドを含み、
    前記デジタル音声ストリームを分析し、前記ソルトされたハッシュを抽出するために前記デジタル音声ストリームのどの周波数バンドが受信されていたかを特定するステップを含むことを特徴とする方法。
  2. 前記受信側コンピュータにおいて、前記送信側コンピュータの前記公開鍵と、受信側及び送信側ランダム番号とを格納するステップを含むことを特徴とする請求項1に記載の方法。
JP2008065325A 2007-03-15 2008-03-14 スローチャネル上の高速認証 Active JP5306678B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/686,771 2007-03-15
US11/686,771 US8345871B2 (en) 2007-03-15 2007-03-15 Fast authentication over slow channels

Publications (2)

Publication Number Publication Date
JP2008228309A JP2008228309A (ja) 2008-09-25
JP5306678B2 true JP5306678B2 (ja) 2013-10-02

Family

ID=39763878

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008065325A Active JP5306678B2 (ja) 2007-03-15 2008-03-14 スローチャネル上の高速認証

Country Status (3)

Country Link
US (1) US8345871B2 (ja)
JP (1) JP5306678B2 (ja)
KR (1) KR101562833B1 (ja)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8670564B1 (en) 2006-08-14 2014-03-11 Key Holdings, LLC Data encryption system and method
KR101412747B1 (ko) * 2007-07-18 2014-07-01 삼성전자주식회사 데이터를 인증하는 방법 및 상기 방법을 수행하는 시스템
US7751450B2 (en) * 2007-09-28 2010-07-06 Verizon Patent And Licensing Inc. Voice over internet protocol marker insertion
US8681981B2 (en) * 2010-12-03 2014-03-25 Motorola Solutions, Inc. Method and apparatus for transmitting voice communications related to a multimedia session
US10122710B2 (en) 2012-04-19 2018-11-06 Pq Solutions Limited Binding a data transaction to a person's identity using biometrics
US9438589B2 (en) * 2012-04-19 2016-09-06 Martin Tomlinson Binding a digital file to a person's identity using biometrics
WO2014036689A1 (en) * 2012-09-04 2014-03-13 Nokia Corporation Methods and apparatuses for location-based access management
US11127001B2 (en) 2013-05-09 2021-09-21 Wayne Fueling Systems Llc Systems and methods for secure communication
US10541979B2 (en) * 2015-02-17 2020-01-21 Synopsys, Inc. Multiport content encryption engine
EP3311264A4 (en) * 2015-06-17 2019-01-23 Intel Corporation RANDOM NUMBER GENERATOR
US10333708B1 (en) * 2017-02-03 2019-06-25 Amazon Technologies, Inc. Hybrid random-number generator
US20230171099A1 (en) * 2021-11-27 2023-06-01 Oracle International Corporation Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5241599A (en) * 1991-10-02 1993-08-31 At&T Bell Laboratories Cryptographic protocol for secure communications
GB2308282B (en) * 1995-12-15 2000-04-12 Lotus Dev Corp Differential work factor cryptography method and system
US5764772A (en) * 1995-12-15 1998-06-09 Lotus Development Coporation Differential work factor cryptography method and system
US6009176A (en) * 1997-02-13 1999-12-28 International Business Machines Corporation How to sign digital streams
US6427012B1 (en) * 1997-05-19 2002-07-30 Verance Corporation Apparatus and method for embedding and extracting information in analog signals using replica modulation
US6539479B1 (en) * 1997-07-15 2003-03-25 The Board Of Trustees Of The Leland Stanford Junior University System and method for securely logging onto a remotely located computer
US6393127B2 (en) * 1998-03-02 2002-05-21 Motorola, Inc. Method for transferring an encryption key
ATE311063T1 (de) * 2000-02-08 2005-12-15 Swisscom Mobile Ag Vereinter einloggungsprozess
US7069590B1 (en) * 2000-02-17 2006-06-27 Microsoft Corporation System and method for protecting data streams in hardware components
US7424615B1 (en) * 2001-07-30 2008-09-09 Apple Inc. Mutually authenticated secure key exchange (MASKE)
FR2829644A1 (fr) * 2001-09-10 2003-03-14 St Microelectronics Sa Procede securise de transmission de donnees multimedia
US7260722B2 (en) 2001-12-28 2007-08-21 Itt Manufacturing Enterprises, Inc. Digital multimedia watermarking for source identification
US7142674B2 (en) * 2002-06-18 2006-11-28 Intel Corporation Method of confirming a secure key exchange
US7373509B2 (en) * 2003-12-31 2008-05-13 Intel Corporation Multi-authentication for a computing device connecting to a network
US20070121939A1 (en) * 2004-01-13 2007-05-31 Interdigital Technology Corporation Watermarks for wireless communications
JP2005217665A (ja) * 2004-01-28 2005-08-11 Ntt Docomo Inc 通信システム、送信装置、受信装置及び通信方法
US7773517B2 (en) * 2004-11-19 2010-08-10 Research In Motion Limited Method and system for identifying degradation of a media service
WO2006087819A1 (ja) * 2005-02-21 2006-08-24 Fujitsu Limited 通信装置
JP4665617B2 (ja) * 2005-06-10 2011-04-06 沖電気工業株式会社 メッセージ認証システム,メッセージ送信装置,メッセージ受信装置,メッセージ送信方法,メッセージ受信方法およびプログラム
US8023654B2 (en) * 2006-12-18 2011-09-20 Palo Alto Research Center Incorporated Securing multimedia network communication

Also Published As

Publication number Publication date
US20080229110A1 (en) 2008-09-18
KR20080084716A (ko) 2008-09-19
KR101562833B1 (ko) 2015-10-23
US8345871B2 (en) 2013-01-01
JP2008228309A (ja) 2008-09-25

Similar Documents

Publication Publication Date Title
JP5306678B2 (ja) スローチャネル上の高速認証
US7730309B2 (en) Method and system for key management in voice over internet protocol
US20180294959A1 (en) Identity and content authentication for phone calls
CN103974241B (zh) 一种面向Android系统移动终端的语音端到端加密方法
CN108199835B (zh) 一种多方联合私钥解密方法
EP3178193B1 (en) A method of providing real-time secure communication between end points in a network
CN103763356B (zh) 一种安全套接层连接的建立方法、装置及系统
Reaves et al. {AuthLoop}:{End-to-End} Cryptographic Authentication for Telephony over Voice Channels
EP1981239B1 (en) Securing multimedia network communication
KR101556654B1 (ko) 영상 통화 수행 방법 및 장치
CN107612934A (zh) 一种基于密钥分割的区块链移动端计算系统和方法
CN106936788B (zh) 一种适用于voip语音加密的密钥分发方法
Kohlar et al. On the security of TLS-DH and TLS-RSA in the standard model
CN108040071B (zh) 一种VoIP音视频加密密钥动态切换方法
WO2016082401A1 (zh) 通话方法、装置、用户终端及计算机存储介质
Petraschek et al. Security and Usability Aspects of Man-in-the-Middle Attacks on ZRTP.
CN103401876B (zh) 一种基于变尺度窗口机制的VoIP服务安全保障方法与系统
Belvin A secure text messaging protocol
US11329831B2 (en) Practical end-to-end cryptographic authentication for telephony over voice channels
Zhang et al. Peer-to-peer VoIP communications using anonymisation overlay networks
Floroiu et al. A comparative analysis of the security aspects of the multimedia key exchange protocols
CN105323235B (zh) 一种安全加密型语音通信系统及方法
Wu et al. Secure human communications based on biometrics signals
KR101459237B1 (ko) 단말기 간의 보안 통신 방법 및 그 장치
CN104202337A (zh) 一种基于音频信号的数据传输系统及方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130110

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130410

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130509

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130527

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130626

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

Ref document number: 5306678

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313117

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250