Önceden paylaşılan simetrik anahtara dayalı bir kimlik doğrulama protokolünü kırma

(Alice) ile (Bob) arasında kimlik doğrulaması yapmak için aşağıdaki protokolü düşünün . $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ rastgele bir nonce'dir.
$K$ , önceden paylaşılan bir simetrik anahtardır.
$P$ bir miktar yüktür.
$E(m, K)$ araçları ile şifrelenmiş . $m$ $K$
$\langle m_1, m_2\rangle$ aracı monte net bir şekilde şifresi çözülebilen bir şekilde. $m_1$ $m_2$
Şifreleme algoritmalarının güvenli ve doğru bir şekilde uygulandığını varsayıyoruz.

Bir saldırgan (Trudy), Bob'u yükünü geldiğini ( yerine ) kabul etmeye ikna etmek ister . Trudy böylece Alice'i taklit edebilir mi? Nasıl? $P_T$ $P_A$

_{Bu biraz egzersiz 9.6 den değiştirilir Bilgi Güvenliği: İlkeler ve Uygulama tarafından Mark Damgası . Kitap versiyonunda yok , son mesaj sadece ve Trudy'nin “Bob'u Alice olduğuna ikna etmesi” gerekliliği. Mark Stamp iki saldırı bulmamızı istiyor ve bulduğum iki kişi Trudy'nin izin veriyor ancak .
$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$}

cryptography protocols authentication

— Gilles 'SO- şeytan olmayı bırak'
kaynak

Şifreleme / güvenlik etiketleri hakkında meta olarak

— Ran G.

Bu protokol Bob'un gönderdiğinden dolayı güvensiz görünüyor . Bu, Trudy tarafından daha sonra kimlik doğrulama protokolünü tamamlamak için kullanılacak şifrelemelerini "oluşturmak" için kullanılabilir. $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

Özellikle, aşağıdaki saldırıyı göz önünde bulundurun:

Trudy rastgele seçer ve protokolü Bob ile şu şekilde çalıştırır: ve ardından Trudy protokolü ortadan keser ( nasıl cevap vereceğini bilmiyor). Hem Trudy hem de Bob'un iptal edildiğini varsayıyoruz. $R_1$

\begin{aligned} T \to B : & “I'm Alice”, ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

Şimdi Trudy protokolün başka bir örneğini başlatır: Trudy, bilmeden protokolü bu kez nasıl tamamladı ? bu kolay! Bob aslında ilk defa onun için şifreleme yaptı.

\begin{aligned} T \to B : & “I'm Alice”, R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

Alınan ders: bir şifreleme protokolünde, her mesajın veya ayrılabilir parçanın protokolde başka bir mesaj olarak tekrar kullanılmasını önleyen benzersiz bir etiket içermesi iyidir. Bob'un cevabı ve üçüncü mesaj olsaydı, bu saldırı işe . $E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ran G.
kaynak