15.4.6. Длина ключей
Злоумышленники могут пытаться взломать процедуру обратной маршрутизируемости многими способами. В разд. 15.4.2 обсуждается ситуация, при которой злоумышленник может видеть криптографические значения, посылаемые открыто, а в разделе 15.4.3 обсуждаются последствия этого на обмен информацией по IPv6. В этом разделе обсуждается вопрос, может ли злоумышленник догадаться о правильных значениях без наблюдения за ними.
Когда выполняется процедура обратной маршрутизируемости, для защиты от подделанных ответов используются 64-битовые идентификационные цепочки. Это считается достаточным, предполагая, что для того чтобы вслепую подделать ответ, необходимо будет очень большое количество сообщений прежде, чем успех окажется вероятным.
Маркеры, используемые в процедуре обратной маршрутизируемости, представляют совместно 128 бит информации. Эта информация используется внутри в качестве входа хэш-функции для выработки 160-битовой величины, пригодной для выработки ключевого хэша в обновлении привязки с помощью алгоритма HMAC_SHA1. Длина конечного ключевого хэша составляет 96 бит. Ограничивающими факторами в этом случае являются длина входного маркера и длина конечного ключевого хэша. Применение внутренней хэш-функции не сокращает энтропию.
Конечный 96-битовый ключевой хэш имеет обычный размер и считается безопасным. 128-битовый вход из маркеров разбит на две части, маркер home keygen token и маркер care-of keygen token. Злоумышленник может попытаться отгадать правильное значение идентифицирующей цепочки, но снова повторим, что это потребует большого количества сообщений, в среднем 2**63 сообщений для первого и 2**127 сообщений для второго. Более того, поскольку идентифицирующие цепочки являются достоверными только в течение короткого интервала времени, для достижения конечного эффекта атака должна поддерживать высокую постоянную скорость сообщений. Это не представляется практичным.
Когда мобильный узел возвращается домой, как раз допускается использовать маркер home keygen token длиною 64 бита. Это меньше 128 бит, но атака на него вслепую все еще требует, чтобы было послано большое количество сообщений. Если злоумышленник находится на пути пакетов и способен видеть обновление привязки, он может, вероятно, взломать ключевой хэш методом грубой силы. Однако в этом случае злоумышленник должен находиться на пути следования пакетов, что, как кажется, предоставляет более простые способы для организации «отказа в обслуживании», чем препятствование оптимизации маршрута.