Protocolul Needham – Schroeder - Needham–Schroeder protocol

Protocolul Needham-Schroeder este unul dintre cele două protocoale de transport cheie destinate utilizării pe o rețea nesigură, ambele propuse de Roger Needham și Michael Schroeder . Acestea sunt:

• Needham-Schroeder simetrica Protocolul cheie , bazat pe un algoritm de criptare simetrică . Acesta stă la baza protocolului Kerberos . Acest protocol își propune să stabilească o cheie de sesiune între două părți într-o rețea, de obicei pentru a proteja comunicarea ulterioară.
• Needham-Schroeder Protocolul public-cheie , bazate pe criptografia cu cheie publică . Acest protocol este destinat să ofere autentificare reciprocă între două părți care comunică într-o rețea, dar în forma sa propusă este nesigur.

Protocolul simetric

Aici, Alice inițiază comunicarea către Bob . este un server de încredere de ambele părți. În comunicare: ${\ displaystyle (A)}$${\ displaystyle B}$${\ displaystyle S}$

• ${\ displaystyle A}$și sunt identități ale lui Alice și, respectiv, ale lui Bob${\ displaystyle B}$
• ${\ displaystyle {K_ {AS}}}$este o cheie simetrică cunoscută numai de și${\ displaystyle A}$${\ displaystyle S}$
• ${\ displaystyle {K_ {BS}}}$este o cheie simetrică cunoscută numai de și${\ displaystyle B}$${\ displaystyle S}$
• ${\ displaystyle N_ {A}}$și sunt nonce generate de și respectiv${\ displaystyle N_ {B}}$${\ displaystyle A}$${\ displaystyle B}$
• ${\ displaystyle {K_ {AB}}}$este o cheie generată simetric, care va fi cheia de sesiune a sesiunii între și${\ displaystyle A}$${\ displaystyle B}$

Protocolul poate fi specificat după cum urmează în notația protocolului de securitate :

${\ displaystyle A \ rightarrow S: \ left.A, B, N_ {A} \ right.}$

Alice trimite un mesaj către server identificându-se pe ea și pe Bob, spunându-i serverului că dorește să comunice cu Bob.

${\ displaystyle S \ rightarrow A: \ {N_ {A}, K_ {AB}, B, \ {K_ {AB}, A \} _ {K_ {BS}} \} _ {K_ {AS}}}$

Serverul generează și trimite înapoi către Alice o copie criptată pentru ca Alice să o transmită lui Bob și, de asemenea, o copie pentru Alice. Deoarece Alice poate solicita chei pentru mai multe persoane diferite, nonce-ul o asigură pe Alice că mesajul este proaspăt și că serverul răspunde la acel mesaj special și includerea numelui lui Bob îi spune lui Alice cu cine trebuie să împartă această cheie.${\ displaystyle {K_ {AB}}}$${\ displaystyle {K_ {BS}}}$

${\ displaystyle A \ rightarrow B: \ {K_ {AB}, A \} _ {K_ {BS}}}$

Alice îi transmite cheia lui Bob, care o poate decripta cu cheia pe care o împarte cu serverul, autentificând astfel datele.

${\ displaystyle B \ rightarrow A: \ {N_ {B} \} _ {K_ {AB}}}$

Bob îi trimite lui Alice un nonce criptat sub pentru a arăta că are cheia.${\ displaystyle {K_ {AB}}}$

${\ displaystyle A \ rightarrow B: \ {N_ {B} -1 \} _ {K_ {AB}}}$

Alice efectuează o operație simplă pe nonce, o criptează din nou și o trimite înapoi verificând dacă este încă în viață și că deține cheia.

Atacuri asupra protocolului

Protocolul este vulnerabil la un atac de reluare (așa cum a fost identificat de Denning și Sacco). Dacă un atacator folosește o valoare mai veche, compromisă pentru , poate relua mesajul către Bob, care îl va accepta, neputând spune că cheia nu este proaspătă. ${\ displaystyle K_ {AB}}$${\ displaystyle \ {K_ {AB}, A \} _ {K_ {BS}}}$

Fixarea atacului

Această defecțiune este rezolvată în protocolul Kerberos prin includerea unui timestamp . Poate fi, de asemenea, reparat cu utilizarea nonces, așa cum este descris mai jos. La începutul protocolului:

${\ displaystyle A \ rightarrow B: A}$

Alice îi trimite lui Bob o cerere.

${\ displaystyle B \ rightarrow A: \ {A, \ mathbf {N_ {B} '} \} _ {K_ {BS}}}$

Bob răspunde cu un nonce criptat sub cheia sa cu serverul.

${\ displaystyle A \ rightarrow S: \ left.A, B, N_ {A}, \ {A, \ mathbf {N_ {B} '} \} _ {K_ {BS}} \ right.}$

Alice trimite un mesaj către server identificându-se pe ea și pe Bob, spunându-i serverului că dorește să comunice cu Bob.

${\ displaystyle S \ rightarrow A: \ {N_ {A}, K_ {AB}, B, \ {K_ {AB}, A, \ mathbf {N_ {B} '} \} _ {K_ {BS}} \ } _ {K_ {AS}}}$

Rețineți includerea nonce.

Protocolul continuă apoi așa cum este descris în ultimii trei pași descriși în protocolul original de mai sus . Rețineți că este o diferență diferită de . Includerea acestei noi nonce împiedică redarea unei versiuni compromise, deoarece un astfel de mesaj ar trebui să aibă forma pe care atacatorul nu o poate falsifica, deoarece nu o are . ${\ displaystyle N_ {B} '}$${\ displaystyle N_ {B}}$${\ displaystyle \ {K_ {AB}, A \} _ {K_ {BS}}}$${\ displaystyle \ {K_ {AB}, A, \ mathbf {N_ {B} '} \} _ {K_ {BS}}}$${\ displaystyle K_ {BS}}$

Protocolul cu cheie publică

Aceasta presupune utilizarea unui algoritm de criptare cu cheie publică .

Aici, Alice și Bob folosesc un server de încredere pentru a distribui cheile publice la cerere. Aceste chei sunt: ${\ displaystyle (A)}$${\ displaystyle (B)}$${\ displaystyle (S)}$

• ${\ displaystyle K_ {PA}}$și , respectiv, jumătăți publice și private ale unei perechi de chei de criptare aparținând ( înseamnă „cheie secretă” aici)${\ displaystyle K_ {SA}}$${\ displaystyle A}$${\ displaystyle S}$
• ${\ displaystyle K_ {PB}}$și , similar cu apartenența la${\ displaystyle K_ {SB}}$${\ displaystyle B}$
• ${\ displaystyle K_ {PS}}$și , similar cu apartenența la . (Rețineți că această pereche de chei va fi utilizată pentru semnături digitale , adică utilizată pentru semnarea unui mesaj și utilizată pentru verificare. Trebuie să fie cunoscută și înainte ca protocolul să înceapă.)${\ displaystyle K_ {SS}}$${\ displaystyle S}$${\ displaystyle K_ {SS}}$${\ displaystyle K_ {PS}}$${\ displaystyle K_ {PS}}$${\ displaystyle A}$${\ displaystyle B}$

Protocolul rulează după cum urmează:

${\ displaystyle A \ rightarrow S: \ left.A, B \ right.}$

${\ displaystyle A}$cheile publice ale solicitărilor de la${\ displaystyle B}$${\ displaystyle S}$

${\ displaystyle S \ rightarrow A: \ {K_ {PB}, B \} _ {K_ {SS}}}$

${\ displaystyle S}$răspunde cu cheia publică alături de identitatea, semnată de server în scopuri de autentificare.${\ displaystyle K_ {PB}}$${\ displaystyle B}$

${\ displaystyle A \ rightarrow B: \ {N_ {A}, A \} _ {K_ {PB}}}$

${\ displaystyle A}$alege o întâmplare și o trimite la .${\ displaystyle N_ {A}}$${\ displaystyle B}$

${\ displaystyle B \ rightarrow S: \ left.B, A \ right.}$

${\ displaystyle B}$acum știe că A vrea să comunice, așa că solicită cheile publice.${\ displaystyle B}$${\ displaystyle A}$

${\ displaystyle S \ rightarrow B: \ {K_ {PA}, A \} _ {K_ {SS}}}$

Serverul răspunde.

${\ displaystyle B \ rightarrow A: \ {N_ {A}, N_ {B} \} _ {K_ {PA}}}$

${\ displaystyle B}$alege o întâmplare și o trimite la împreună cu pentru a dovedi capacitatea de a decripta cu .${\ displaystyle N_ {B}}$${\ displaystyle A}$${\ displaystyle N_ {A}}$${\ displaystyle K_ {SB}}$

${\ displaystyle A \ rightarrow B: \ {N_ {B} \} _ {K_ {PB}}}$

${\ displaystyle A}$confirmă să , pentru a dovedi capacitatea de a decripta cu${\ displaystyle N_ {B}}$${\ displaystyle B}$${\ displaystyle K_ {SA}}$

La sfârșitul protocolului, și să vă cunoașteți identitatea reciprocă și să știți pe amândouă și . Aceste nonces nu sunt cunoscute de ascultători. ${\ displaystyle A}$${\ displaystyle B}$${\ displaystyle N_ {A}}$${\ displaystyle N_ {B}}$

Un atac asupra protocolului

Acest protocol este vulnerabil la un atac om-în-mijloc . Dacă un impostor poate convinge să inițieze o sesiune cu ei, poate transmite mesajele către și convinge că comunică cu el . ${\ displaystyle I}$${\ displaystyle A}$${\ displaystyle B}$${\ displaystyle B}$${\ displaystyle A}$

Ignorând traficul către și de la , care este neschimbat, atacul se desfășoară după cum urmează: ${\ displaystyle S}$

${\ displaystyle A \ rightarrow I: \ {N_ {A}, A \} _ {K_ {PI}}}$

${\ displaystyle A}$trimite către , care decriptează mesajul cu${\ displaystyle N_ {A}}$${\ displaystyle I}$${\ displaystyle K_ {SI}}$

${\ displaystyle I \ rightarrow B: \ {N_ {A}, A \} _ {K_ {PB}}}$

${\ displaystyle I}$transmite mesajul către , pretinzând că comunică${\ displaystyle B}$${\ displaystyle A}$

${\ displaystyle B \ rightarrow I: \ {N_ {A}, N_ {B} \} _ {K_ {PA}}}$

${\ displaystyle B}$ trimite ${\ displaystyle N_ {B}}$

${\ displaystyle I \ rightarrow A: \ {N_ {A}, N_ {B} \} _ {K_ {PA}}}$

${\ displaystyle I}$ îl transmite la ${\ displaystyle A}$

${\ displaystyle A \ rightarrow I: \ {N_ {B} \} _ {K_ {PI}}}$

${\ displaystyle A}$decriptează și confirmă , cine o învață${\ displaystyle NB}$${\ displaystyle I}$

${\ displaystyle I \ rightarrow B: \ {N_ {B} \} _ {K_ {PB}}}$

${\ displaystyle I}$recriptează și convinge că a descifrat-o${\ displaystyle N_ {B}}$${\ displaystyle B}$

La sfârșitul atacului, crede în mod fals că comunică cu el, și că și sunt cunoscute numai de și . ${\ displaystyle B}$${\ displaystyle A}$${\ displaystyle N_ {A}}$${\ displaystyle N_ {B}}$${\ displaystyle A}$${\ displaystyle B}$

Următorul exemplu ilustrează atacul. Alice (A) ar dori să contacteze banca ei (B). Presupunem că un impostor (I) îl convinge cu succes pe A că sunt banca. În consecință, A folosește cheia publică a lui I în loc să folosească cheia publică a lui B pentru a cripta mesajele pe care intenționează să le trimită băncii sale. Prin urmare, A îi trimite nonce criptat cu cheia publică a lui I. Decriptez mesajul folosind cheia lor privată și contactele B trimitându-i nonce-ul A criptat cu cheia publică a lui B. B nu are cum să știe că acest mesaj a fost trimis de fapt de I. B răspunde cu propria lor nonce și criptează mesajul cu cheia publică a lui A. Deoarece eu nu sunt în posesia cheii private a lui A, trebuie să retransmită mesajul către A fără să cunoască conținutul. A decriptează mesajul cu cheia ei privată și răspunde cu neconcepția lui B criptată cu cheia publică a lui I. Decriptez mesajul folosind cheia lor privată și este acum în posesia noncei A și B. Prin urmare, ei pot identifica acum banca și respectiv clientul.

Remedierea atacului om-în-mijloc

Atacul a fost descris pentru prima dată într-o lucrare din 1995 de Gavin Lowe . Lucrarea descrie, de asemenea, o versiune fixă ​​a schemei, denumită protocolul Needham-Schroeder-Lowe . Remedierea implică modificarea mesajului șase pentru a include identitatea respondentului, adică înlocuim:

${\ displaystyle B \ rightarrow A: \ {N_ {A}, N_ {B} \} _ {K_ {PA}}}$

cu versiunea fixă:

${\ displaystyle B \ rightarrow A: \ {N_ {A}, N_ {B}, B \} _ {K_ {PA}}}$

iar intrusul nu poate reda cu succes mesajul deoarece A așteaptă un mesaj care conține identitatea lui I, în timp ce mesajul va avea identitatea lui B.

Vezi si

• Kerberos
• Protocolul Otway – Rees
• Yahalom
• Protocol Wide Mouth Frog
• Protocol Neuman – Stubblebine

Referințe

linkuri externe

• Roger Needham și Michael Schroeder (1978). „Cheia publică Needham-Schroeder” . Laboratoire Specification and Vérification.CS1 maint: folosește parametrul autorilor ( link )

• Roger Needham și Michael Schroeder (1978). „Cheia simetrică Needham Schroeder” . Laboratoire Specification and Vérification.CS1 maint: folosește parametrul autorilor ( link )

• Gavin Lowe (1995). „Versiunea fixă ​​Lowe a cheii publice Needham-Schroder” . Laboratoire Specification and Vérification.CS1 maint: folosește parametrul autorilor ( link )