Protocolul Denning-Sacco

Notații criptografice utilizate în protocoalele de autentificare și schimb de chei

$A$	Identificatorii lui Alice ( Alice ), inițiatorul sesiunii
$B$	Identificatorul lui Bob ( Bob ), partea din care se stabilește sesiunea
$T$	Identificatorul Trent ( Trent ), o parte intermediară de încredere
$K_{A},K_{B},K_{T}$	Cheile publice ale lui Alice, Bob și Trent
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Cheile secrete ale lui Alice, Bob și Trent
$E_{A},\stanga\{...\dreapta\}_{K_{A}}$	Criptarea datelor cu cheia lui Alice sau cheia comună a lui Alice și Trent
$E_{B},\stanga\{...\dreapta\}_{K_{B}}$	Criptarea datelor cu cheia lui Bob sau cheia comună a lui Bob și Trent
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Criptarea datelor cu cheile secrete ale lui Alice, Bob (semnătură digitală)
$eu$	Numărul secvenței sesiunii (pentru a preveni atacurile de reluare)
$K$	Cheie aleatorie de sesiune care trebuie utilizată pentru criptarea simetrică a datelor
$E_{K},\stânga\{...\dreapta\}_{K}$	Criptarea datelor cu o cheie de sesiune temporară
$T_{A},T_{B}$	Marcaje temporale adăugate mesajelor de către Alice și, respectiv, Bob
$R_{A},R_{B}$	Numere aleatoare ( nonce ) care au fost alese de Alice și, respectiv, de Bob
$K_{A},K_{B},K_{T}$	Perechile de chei publice și, respectiv, private pre-generate de Alice, Bob și Trent
$K_{p}$	Perechea de chei publică/privată de sesiune aleatorie pentru a fi utilizată pentru criptarea asimetrică
$S_{A},S_{B},$ $S_{T},S_{K_{p))$	Semnarea datelor folosind cheia privată a lui Alice, Bob, partea intermediară ( Trent ), sau respectiv o cheie privată dintr-o pereche aleatorie
$E_{K_{A}),E_{K_{B)),$ $E_{K_{T}),E_{K_{p)}$	Criptarea asimetrică a datelor folosind cheia publică a lui Alice, Bob, o parte intermediară ( Trent ), sau respectiv o cheie publică dintr-o pereche aleatorie

Protocolul Denning-Sacco [1] este un nume comun pentru protocoalele de distribuție a cheilor de încredere simetrice și asimetrice .

Istorie

În 1981, angajații de la Universitatea Purdue Dorothy E. Denning și Giovanni Maria Sacco au prezentat un atac asupra protocolului Needham-Schroeder și au propus propria modificare a protocolului pe baza utilizării etichetelor de timp [2] .

Protocolul Denning-Sacco cheie simetrică

Cu criptarea simetrică , se presupune că cheia secretă aparținând clientului este cunoscută numai de el și de o terță parte de încredere - serverul de autentificare. În timpul execuției protocolului, clienții (Alice, Bob) primesc de la serverul de autentificare (Trent) o nouă cheie de sesiune secretă pentru a cripta mesajele reciproce în sesiunea curentă de comunicare. Luați în considerare implementarea protocolului Denning-Sacco cu o cheie simetrică [3] :

$Alice\la \stanga\{A,B\dreapta\}\la Trent$
$Trent\la \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\la Alice$
$Alice\la \left\{A,K,T_{T}\right\}_{K_{B}}\la Bob$

Descriere

Primul mesaj de la Alice către Trent conține identificatorii participanților la schimbul viitor - Alice și Bob. Acest mesaj este trimis în text clar:

$Alice\la \stanga\{A,B\dreapta\}\la Trent$

Trent generează o cheie de sesiune și îi trimite lui Alice un mesaj criptat care include ID-ul lui Bob, cheia de sesiune, marca temporală și un pachet care acționează ca certificatul lui Alice: $K$ $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Trent\la \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\la Alice$

Alice apoi decriptează mesajul lui Trent și îi trimite certificatul lui Bob : $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Alice\la \left\{A,K,T_{T}\right\}_{K_{B}}\la Bob$

La sfârșitul protocolului, Alice și Bob au o cheie de sesiune partajată . $K$

Alice și Bob pot verifica dacă mesajele pe care le primesc sunt valide verificând marcajele de timp . $T_{T}$

Atacul de protocol

În 1997, Gavin Lowe a prezentat un atac asupra protocolului [4] :

Alice și Bob încheie sesiunea de protocol, în urma căreia cheia de sesiune este generată pentru părți : $K$

unu.

Alice\la \stanga\{A,B\dreapta\}\la Trent

Trent\la \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\la Alice

Alice\la \left\{A,K,T_{T}\right\}_{K_{B}}\la Bob

Atacatorul repetă apoi ultimul mesaj al lui Alice:

patru.

Atacatorul\la \left\{A,K,T_{T}\right\}_{K_{B}}\la Bob

Acțiunile atacatorului îl fac pe Bob să decidă că Alice vrea să stabilească o nouă legătură cu el.

Modificarea protocolului

În aceeași lucrare, Low a propus o modificare a protocolului care prevede autentificarea lui Alice la Bob [4] :

Mai întâi, Alice și Bob repetă întreaga sesiune de protocol:

unu.

Alice\la \stanga\{A,B\dreapta\}\la Trent

Trent\la \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\la Alice

Alice\la \left\{A,K,T_{T}\right\}_{K_{B}}\la Bob

Bob generează apoi un număr aleatoriu, îl criptează cu cheia de sesiune și îl trimite lui Alice: $K$

patru.

Bob\la \left\{R_{B}\dreapta\}_{K}\la Alice

Alice decriptează mesajul lui Bob, îi adaugă 1 , criptează rezultatul cu cheia de sesiune și îi trimite lui Bob: $R_{B}$ $K$

Alice\la \left\{R_{B}+1\right\}_{K}\la Bob

După ce Bob decriptează mesajul lui Alice, poate verifica dacă Alice deține cheia de sesiune .

K

În cadrul protocolului, Bob nu confirmă în niciun fel primirea unei noi chei de sesiune și capacitatea de a opera cu aceasta. Mesajul de la Alice la a 5-a pasă ar fi putut fi interceptat sau modificat de un atacator. Dar Alice nu mai așteaptă niciun răspuns de la Bob și este sigură că protocolul a fost finalizat cu succes. $K$

Denning-Sacco Public Key Protocol

O versiune asimetrică a protocolului Denning-Sacco. Serverul de autentificare deține cheile publice ale tuturor clienților. Luați în considerare implementarea protocolului Denning-Sacco cu o cheie publică [5] :

$Alice\la \stanga\{A,B\dreapta\}\la Trent$
$Trent\la \left\{S_{T}\left(A,K_{A},T_{T}\right), S_{T}\left(B,K_{B},T_{T} \dreapta)\dreapta\}\la Alice$
$Alice\la \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right), S_{T}\left(A,K_{A} ,T_{T}\dreapta),S_{T}\stânga(B,K_{B},T_{T}\dreapta)\dreapta\}\la Bob$

Descriere

Primul mesaj de la Alice către Trent conține identificatorii participanților la schimbul viitor - Alice și Bob. Acest mesaj este trimis în text clar:

Alice\la \stanga\{A,B\dreapta\}\la Trent

Ca răspuns, Trent îi trimite Alicei certificatele de cheie publică semnate ale lui Alice și Bob. În plus, marcajele de timp sunt adăugate la fiecare certificat:

Trent\la \left\{S_{T}\left(A,K_{A},T_{T}\right), S_{T}\left(B,K_{B},T_{T} \dreapta)\dreapta\}\la Alice

Alice generează o nouă cheie de sesiune și o trimite lui Bob împreună cu o marca temporală , semnând-o cu cheia ei și criptând-o cu cheia publică a lui Bob, împreună cu ambele mesaje primite de la Trent: $K$ $T_{A}$

Alice\la \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right), S_{T}\left(A,K_{A} ,T_{T}\dreapta),S_{T}\stânga(B,K_{B},T_{T}\dreapta)\dreapta\}\la Bob

Bob verifică semnătura CA pe certificat , decriptează cheia de sesiune și verifică semnătura lui Alice. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Atacul de protocol

Abadi și Needham au descris un atac asupra protocolului [6] în care Bob, după ce a primit un mesaj de la Alice, își poate uzurpa identitatea într-o sesiune cu un alt utilizator. Absența identificatorului lui Bob în mesajul de la Alice duce la faptul că Bob poate folosi datele primite de la Alice pentru a uzurpa identitatea lui Alice într-o nouă sesiune cu o terță parte (Clara). $E_{K_{B}}\stanga(S_{A}\stanga(K,T_{A}\dreapta)\dreapta)$

Mai întâi, Alice și Bob desfășoară o sesiune de protocol standard generând o nouă cheie de sesiune : $K$

unu.

Alice\la \stanga\{A,B\dreapta\}\la Trent

Trent\la \left\{S_{T}\left(A,K_{A},T_{T}\right), S_{T}\left(B,K_{B},T_{T} \dreapta)\dreapta\}\la Alice

Alice\la \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right), S_{T}\left(A,K_{A} ,T_{T}\dreapta),S_{T}\stânga(B,K_{B},T_{T}\dreapta)\dreapta\}\la Bob

Bob inițiază apoi o nouă sesiune cu Clara și urmează protocolul:

patru.

Bob\la \left\{B,C\right\}\la Trent

Trent\la \left\{S_{T}\left(B,K_{B},T_{T}\right), S_{T}\left(C,K_{C},T_{T} \dreapta)\dreapta\}\la Bob

La ultimul pas al protocolului, Bob redă mesajele primite de la Alice într-o sesiune cu Clara : $S_{A}\stânga(K,T_{A}\dreapta)$ $S_{T}\left(A,K_{A},T_{T}\right)$

Bob\la \left\{E_{C}\left(S_{A}\left(K,T_{A}\dreapta)\right), S_{T}\left(A,K_{A} ,T_{T}\dreapta),S_{T}\stânga(C,K_{C},T_{T}\dreapta)\dreapta\}\la Clara

Clara verifică cu succes semnătura CA de pe certificat , decriptează cheia de sesiune și verifică semnătura lui Alice. Drept urmare, Clara este sigură că a stabilit o sesiune de comunicare cu Alice, deoarece toți pașii necesari ai protocolului au fost executați corect și toate mesajele au fost corecte. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Note

↑ Davydov A. N. Atacuri asupra protocoalelor cheie de stabilire // Securitatea tehnologiilor informaționale: lucrările conferinței științifice și tehnice / ed. Volchikhina V. I., Zefirova S. L. - Penza: Editura Institutului Electrotehnic de Cercetare Penza, 2004. - Decembrie ( vol. 5 ). - S. 99-104 . Arhivat din original pe 19 august 2019. (Rusă)
↑ Denning, Sacco, 1981 .
↑ Mao, 2005 , p. 79.
↑ 1 2 Lowe, 1997 , The Denning-Sacco shared key protocol, pp. 4-5.
↑ Mao, 2005 , p. 429.
↑ Abadi, Needham, 1996 .

Literatură

Dorothy E. Denning, Giovanni Maria Sacco. Marcaje temporale în protocoalele de distribuție cheie // Commun . ACM. - New York, NY, SUA: ACM, 1981. - Vol. 24 , iss. august 1981 , nr. 8 . - P. 533-536 . — ISSN 0001-0782 . - doi : 10.1145/358722.358740 .
Gavin Lowe. O familie de atacuri asupra protocoalelor de autentificare . - Departamentul de Matematică și Informatică, 1997.
M. Abadi, R. Needham. Practică de inginerie prudentă pentru protocoale criptografice // Tranzacții IEEE privind ingineria software. - 1996. - ianuarie ( vol. 22 , nr. 1 ).
Schneier B. Criptografia aplicată. Protocoale, algoritmi, cod sursă în limbaj C = Criptografie aplicată. Protocoale, algoritmi și cod sursă în C. - M. : Triumph, 2002. - 816 p. - 3000 de exemplare. - ISBN 5-89392-055-4 .
Wenbo Mao. Criptografie modernă: Teorie și practică = Modern Cryptography: Theory and Practice. - Editura Williams, 2005. - ISBN 5-8459-0847-7 .

Protocoale de autentificare și schimb de chei
Cu algoritmi simetrici	Broasca cu gura lata Yahalom Protocolul Needham-Schroeder Protocolul Otway-Risa Kerberos Protocolul Newman-Stubblebine
Cu algoritmi simetrici si asimetrici	DASS Protocolul Denning-Sacco Protocolul Wu Lam SPKM
Protocoale și servicii utilizate pe Internet	OAuth Deschideți ID Windows Live ID