Złam protokół uwierzytelniania na podstawie wstępnie współdzielonego klucza symetrycznego

Rozważ następujący protokół, mający na celu uwierzytelnienie (Alice) na (Bob) i odwrotnie. $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ jest losowym nonce.
$K$ jest wstępnie współdzielonym kluczem symetrycznym.
$P$ to pewna ładowność.
$E(m, K)$ oznacza szyfrowane z . $m$ $K$
$\langle m_1, m_2\rangle$ oznacza złożony z w sposób, który można jednoznacznie zdekodować. $m_1$ $m_2$
Zakładamy, że algorytmy kryptograficzne są bezpieczne i poprawnie wdrożone.

Osoba atakująca (Trudy) chce przekonać Boba, aby zaakceptował jej ładunek jako pochodzący od Alicji (zamiast ). Czy Trudy może podszywać się pod Alice? W jaki sposób? $P_T$ $P_A$

_{Jest to nieco zmodyfikowany od ćwiczeń 9,6 w Information Security: Principles and Practice przez Mark Stamp . W wersji książkowej nie ma , ostatnia wiadomość to tylko , a wymaga, aby Trudy „przekonała Boba, że jest Alice”. Mark Stamp prosi nas o znalezienie dwóch ataków, a dwa, które znalazłem, pozwalają Trudy wykuć ale nie .
$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$}

cryptography protocols authentication

— Gilles „SO- przestań być zły”
źródło

Zobacz dyskusję na temat kryptografii / znaczników bezpieczeństwa w meta

— Ran G.

Ten protokół wydaje się być niepewny ze względu na fakt, że Bob wysyła . Może to zostać wykorzystane przez Trudy do „wygenerowania” szyfrów , które później zostaną użyte do wykonania protokołu uwierzytelnienia. $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

W szczególności rozważ następujący atak:

Trudy wybiera losowy i uruchamia protokół z Bobem w następujący sposób: a następnie Trudy odcina protokół w środku (ponieważ ona nie wie jak odpowiedzieć). Zakładamy, że zarówno Trudy, jak i Bob przerywają. $R_1$

\begin{aligned} T \to B : & “I'm Alice”, ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

Teraz Trudy rozpoczyna kolejną instancję protokołu: Jak Trudy tym razem wykonała protokół, nie znając ? To jest łatwe! Bob w pierwszej kolejności wykonał dla niej szyfrowanie.

\begin{aligned} T \to B : & “I'm Alice”, R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

Wyciągnięta lekcja: w protokole kryptograficznym dobrze jest, aby każda wiadomość lub oddzielny fragment zawierała unikalny znacznik, który zapobiega jego ponownemu użyciu jako innej wiadomości w protokole. Jeśli odpowiedź Boba brzmiałaby a trzecia wiadomość to , ten atak nie zadziałałby. $E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ran G.
źródło