Denning-Sacco-protokollen

Kryptografiske notationer, der bruges i godkendelses- og nøgleudvekslingsprotokoller

$EN$	Identifikatorer for Alice ( Alice ), initiativtageren til sessionen
$B$	Identifikator for Bob ( Bob ), den side, hvorfra sessionen er etableret
$T$	Identifikator for Trent ( Trent ), en betroet mellempart
$K_{A},K_{B},K_{T}$	Alice, Bob og Trents offentlige nøgler
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Alice, Bob og Trents hemmelige nøgler
$E_{A},\venstre\{...\right\}_{K_{A}}$	Kryptering af data med Alices nøgle, eller Alice og Trents fælles nøgle
$E_{B},\venstre\{...\højre\}_{K_{B}}$	Kryptering af data med Bobs nøgle eller Bob og Trents fælles nøgle
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Datakryptering med hemmelige nøgler af Alice, Bob (digital signatur)
$jeg$	Sessionssekvensnummer (for at forhindre gentagelsesangreb)
$K$	Tilfældig sessionsnøgle, der skal bruges til symmetrisk datakryptering
$E_{K},\venstre\{...\højre\}_{K}$	Kryptering af data med en midlertidig sessionsnøgle
$T_{A},T_{B}$	Tidsstempler føjet til beskeder af henholdsvis Alice og Bob
$R_{A},R_{B}$	Tilfældige tal ( nonce ), der blev valgt af henholdsvis Alice og Bob
$K_{A},K_{B},K_{T}$	Alice, Bob og Trents prægenererede henholdsvis offentlige og private nøglepar
$K_{p}$	Tilfældig session offentligt/privat nøglepar, der skal bruges til asymmetrisk kryptering
$S_{A},S_{B},$ $S_{T},S_{K_{p))$	Signering af data ved hjælp af den private nøgle fra Alice, Bob, den mellemliggende part ( Trent ) eller en privat nøgle fra et tilfældigt par, hhv.
$E_{K_{A)),E_{K_{B)),$ $E_{K_{T)),E_{K_{p))$	Asymmetrisk datakryptering ved hjælp af den offentlige nøgle fra henholdsvis Alice, Bob, en mellempart ( Trent ) eller en offentlig nøgle fra et tilfældigt par

Denning-Sacco-protokollen [ 1] er et almindeligt navn for symmetriske og asymmetriske nøgledistributionsprotokoller til betroede parter .

Historie

I 1981 præsenterede Purdue University-medarbejderne Dorothy E. Denning og Giovanni Maria Sacco et angreb på Needham-Schroeder-protokollen og foreslog deres egen ændring af protokollen baseret på brugen af tidslabels [2] .

Symmetrisk nøgle Denning-Sacco protokol

Med symmetrisk kryptering antages det, at den hemmelige nøgle, der tilhører klienten, kun er kendt af ham og en tredje betroet part - autentificeringsserveren. Under udførelsen af protokollen modtager klienter (Alice, Bob) fra godkendelsesserveren (Trent) en ny hemmelig sessionsnøgle til at kryptere gensidige beskeder i den aktuelle kommunikationssession. Overvej implementeringen af Denning-Sacco-protokollen med en symmetrisk nøgle [3] :

$Alice\til \venstre\{A,B\højre\}\til Trent$
$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\til Alice$
$Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob$

Beskrivelse

Den første besked fra Alice til Trent indeholder identifikatorerne for deltagerne i den kommende udveksling - Alice og Bob. Denne besked sendes i klartekst:

$Alice\til \venstre\{A,B\højre\}\til Trent$

Trent genererer en sessionsnøgle og sender Alice en krypteret besked, der inkluderer Bobs ID, sessionsnøgle, tidsstempel og en pakke , der fungerer som Alices certifikat: $K$ $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\til Alice$

Alice dekrypterer derefter Trents besked og sender hendes certifikat til Bob : $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob$

I slutningen af protokollen har Alice og Bob en delt sessionsnøgle . $K$

Alice og Bob kan bekræfte, at de beskeder, de modtager, er gyldige ved at tjekke tidsstempler . $T_{T}$

Protokolangreb

I 1997 præsenterede Gavin Lowe et angreb på protokollen [4] :

Alice og Bob afslutter protokolsessionen, som et resultat af hvilken sessionsnøglen genereres for parterne : $K$

en.

Alice\til \venstre\{A,B\højre\}\til Trent

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\til Alice

Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Angriberen gentager derefter Alices sidste besked:

fire.

Attacker\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Angriberens handlinger får Bob til at beslutte, at Alice vil etablere en ny forbindelse med ham.

Protokolændring

I det samme arbejde foreslog Low en protokolmodifikation, der sørger for Alices autentificering til Bob [4] :

Først gentager Alice og Bob hele protokolsessionen:

en.

Alice\til \venstre\{A,B\højre\}\til Trent

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{ A}}\til Alice

Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Bob genererer derefter et tilfældigt tal, krypterer det med sessionsnøglen og sender det til Alice: $K$

fire.

Bob\til \venstre\{R_{B}\højre\}_{K}\til Alice

Alice dekrypterer Bobs besked, føjer 1 til den, krypterer resultatet med sessionsnøglen og sender til Bob: $R_{B}$ $K$

Alice\to \left\{R_{B}+1\right\}_{K}\to Bob

Efter Bob dekrypterer Alices besked, kan han bekræfte, at Alice ejer sessionsnøglen .

K

Inden for rammerne af protokollen bekræfter Bob på ingen måde modtagelsen af en ny sessionsnøgle og muligheden for at arbejde med den. Beskeden fra Alice på 5. gennemløb kunne være blevet opsnappet eller ændret af en angriber. Men Alice forventer ikke længere noget svar fra Bob og er sikker på, at protokollen blev gennemført med succes. $K$

Denning-Sacco Public Key Protocol

En asymmetrisk version af Denning-Sacco-protokollen. Godkendelsesserveren ejer alle klienters offentlige nøgler. Overvej implementeringen af Denning-Sacco-protokollen med en offentlig nøgle [5] :

$Alice\til \venstre\{A,B\højre\}\til Trent$
$Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \right)\right\}\til Alice$
$Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob$

Beskrivelse

Den første besked fra Alice til Trent indeholder identifikatorerne for deltagerne i den kommende udveksling - Alice og Bob. Denne besked sendes i klartekst:

Alice\til \venstre\{A,B\højre\}\til Trent

Som svar sender Trent Alice de underskrevne offentlige nøglecertifikater fra Alice og Bob. Derudover tilføjes tidsstempler til hvert certifikat:

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \right)\right\}\til Alice

Alice genererer en ny sessionsnøgle og sender den til Bob sammen med et tidsstempel , signerer den med sin nøgle og krypterer den med Bobs offentlige nøgle sammen med begge meddelelser modtaget fra Trent: $K$ $T_{A}$

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob

Bob verificerer CA's signatur på certifikatet , dekrypterer sessionsnøglen og verificerer Alice's signatur. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Protokolangreb

Abadi og Needham beskrev et angreb på protokollen [6] , hvor Bob, efter at have modtaget en besked fra Alice, kan efterligne hende i en session med en anden bruger. Fraværet af Bobs identifikator i meddelelsen fra Alice fører til, at Bob kan bruge data modtaget fra Alice til at efterligne Alice i en ny session med en tredjepart (Clara). $E_{K_{B}}\left(S_{A}\left(K,T_{A}\right)\right)$

Først udfører Alice og Bob en standardprotokolsession ved at generere en ny sessionsnøgle : $K$

en.

Alice\til \venstre\{A,B\højre\}\til Trent

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \right)\right\}\til Alice

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob

Bob starter derefter en ny session med Clara og følger protokollen:

fire.

Bob\to \left\{B,C\right\}\to Trent

Trent\to \left\{S_{T}\left(B,K_{B},T_{T}\right),S_{T}\left(C,K_{C},T_{T} \right)\right\}\to Bob

På det sidste trin i protokollen afspiller Bob beskeder og modtaget fra Alice i en session med Clara : $S_{A}\left(K,T_{A}\right)$ $S_{T}\left(A,K_{A},T_{T}\right)$

Bob\to \left\{E_{C}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\højre),S_{T}\venstre(C,K_{C},T_{T}\højre)\højre\}\til Clara

Clara verificerer med succes CA's signatur på certifikatet , dekrypterer sessionsnøglen og verificerer Alices signatur. Som et resultat er Clara sikker på, at hun har etableret en kommunikationssession med Alice, da alle de nødvendige trin i protokollen blev udført korrekt, og alle meddelelser var korrekte. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Noter

↑ Davydov A. N. Angreb på vigtige etableringsprotokoller // Informationsteknologiers sikkerhed: Proceedings of the videnskabelig og teknisk konference / red. Volchikhina V. I., Zefirova S. L. - Penza: Publishing House of the Penza Research Electrotechnical Institute, 2004. - December ( vol. 5 ). - S. 99-104 . Arkiveret fra originalen den 19. august 2019. (Russisk)
↑ Denning, Sacco, 1981 .
↑ Mao, 2005 , s. 79.
↑ 1 2 Lowe, 1997 , Denning-Saccos delte nøgleprotokol, s. 4-5.
↑ Mao, 2005 , s. 429.
↑ Abadi, Needham, 1996 .

Litteratur

Dorothy E. Denning, Giovanni Maria Sacco. Tidsstempler i nøgledistributionsprotokoller // Commun . ACM. - New York, NY, USA: ACM, 1981. - Vol. 24 , udg. august 1981 , nr. 8 . - S. 533-536 . — ISSN 0001-0782 . - doi : 10.1145/358722.358740 .
Gavin Lowe. En familie af angreb på autentificeringsprotokoller . - Institut for Matematik og Datalogi, 1997.
M. Abadi, R. Needham. Forsigtig ingeniørpraksis for kryptografiske protokoller // IEEE-transaktioner på softwareudvikling. - 1996. - Januar ( bind 22 , nr. 1 ).
Schneier B. Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 eksemplarer. - ISBN 5-89392-055-4 .
Wenbo Mao. Modern Cryptography: Theory and Practice = Modern Cryptography: Theory and Practice. - Williams Publishing House, 2005. - ISBN 5-8459-0847-7 .

Autentificering og nøgleudvekslingsprotokoller
Med symmetriske algoritmer	Bred Mund Frø Yahalom Needham-Schroeder-protokollen Otway-Risa-protokollen Kerberos Newman-Stubblebine-protokollen
Med symmetriske og asymmetriske algoritmer	DASS Denning-Sacco-protokollen Wu Lam-protokollen SPKM
Protokoller og tjenester, der bruges på internettet	OAuth Åbn ID Windows Live ID