Bred Mund Frø

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 17. december 2021; verifikation kræver 1 redigering . Kryptografiske notationer, der bruges i godkendelses- og nøgleudvekslingsprotokoller

$EN$	Identifikatorer for Alice ( Alice ), initiativtageren til sessionen
$B$	Identifikator for Bob ( Bob ), den side, hvorfra sessionen er etableret
$T$	Identifikator for Trent ( Trent ), en betroet mellempart
$K_{A},K_{B},K_{T}$	Alice, Bob og Trents offentlige nøgler
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Alice, Bob og Trents hemmelige nøgler
$E_{A},\venstre\{...\right\}_{K_{A}}$	Kryptering af data med Alices nøgle, eller Alice og Trents fælles nøgle
$E_{B},\venstre\{...\højre\}_{K_{B}}$	Kryptering af data med Bobs nøgle eller Bob og Trents fælles nøgle
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Datakryptering med hemmelige nøgler af Alice, Bob (digital signatur)
$jeg$	Sessionssekvensnummer (for at forhindre gentagelsesangreb)
$K$	Tilfældig sessionsnøgle, der skal bruges til symmetrisk datakryptering
$E_{K},\venstre\{...\højre\}_{K}$	Kryptering af data med en midlertidig sessionsnøgle
$T_{A},T_{B}$	Tidsstempler føjet til beskeder af henholdsvis Alice og Bob
$R_{A},R_{B}$	Tilfældige tal ( nonce ), der blev valgt af henholdsvis Alice og Bob

Wide-Mouth Frog er måske den enkleste protokol til symmetrisk nøgleudveksling ved hjælp af en betroet server. (Alice) og (Bob) deler en hemmelig nøgle med (Trent). I denne protokol bruges nøgler kun til deres distribution og ikke til at kryptere meddelelser [1] . $EN$ $B$ $T$

Historie

Protokollen er krediteret til Michael Burrows og blev først offentliggjort i Michael Burrows, Martin Abadi og Roger Needham. En autentificeringslogik" [2] i 1989. I 1997 foreslog Gavin Lowe ( datamatiker) i sit arbejde "A Family of Attacks upon Authentication Protocols" [3] en modificeret Wide-Mouthed Frog-protokol ( Lowe modiﬁed Wide-Mouthed Frog-protokol ), som korrigerer nogle sårbarheder.

Wide-mouthed Frog Protocol [4]

For at starte en beskedsession krypterer Alice sammenkædningen af tidsstemplet, Bobs ID og en genereret tilfældig sessionsnøgle. Krypteringsnøglen er en nøgle, der er kendt af Alice og Trent - en mellemliggende betroet server. Derefter giver Alice sit navn (i klartekst) og krypterede data til Trent.

Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \til Trent

Trent dekrypterer pakken med nøglen delt med Alice, vælger en tilfældig sessionsnøgle genereret af Alice og sammenkæder det nye tidsstempel, Alices identifikator og sessionsnøglen, hvorefter han krypterer den med nøglen delt med Bob og sender den til ham.

Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob

Derefter dekrypterer Bob datapakken med nøglen, der deles med Trent, og kan bruge den tilfældige sessionsnøgle, der er genereret af Alice, til at overføre dataene.

Angreb på Wide-Mouthed Frog Protocol

1995 angreb

I 1995 foreslog Ross Anderson og Roger Needham følgende protokolangrebsalgoritme :

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \til Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$I(Bob) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \til Trent$
$Trent \to \left\{ E_A \left( T'_T, B, K \right) \right\} \til Alice$
$I(Alice) \to \left\{ A, E_A \left( T'_T, B, K \right) \right\} \til Trent$
$Trent \to \left\{ E_B \left( T''_T, A, K \right) \right\} \to Bob$ ,

hvor I(Alice) og I(Bob) er en angriber, der efterligner henholdsvis Alice og Bob .

Fejlen i protokollen er, at Trent opdaterer sit tidsstempel fra Alices tidsstempel . Det vil sige, at så længe Trent ikke fører en liste over alle arbejdsnøgler og etiketter, kan en angriber holde nøglerne i gang ved at bruge Trent som en forudsigelse. $T_{T}$ $T_{A}$

Den praktiske virkning af denne mangel vil afhænge af applikationen. For eksempel, hvis brugere bruger et chipkort med denne protokol, som sender sessionsnøglen i klartekst til software- bulkkrypteringsrutinen , så kan nøglerne blive udsat for dette angreb. En angriber kan se Alice og Bob udføre sessioner og holde nøglerne i gang, indtil det er muligt at stjæle et smartkort [5] .

1997 angreb

I 1997 foreslog Gavin Lowe endnu et angreb på denne protokol, baseret på det faktum, at angriberen får Bob til at tro, at Alice har etableret to udvekslingssessioner, mens Alice etablerer en session. Angrebet involverer to interleaved protokol-passager, som vi vil kalde og , for eksempel betegne den anden sessionsmeddelelse \alpha som. Så ser angrebet således ud: $\alfa$ $\beta$ $\alfa .2.$

$besked$ $\alfa .1.$ $Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \til Trent$
$besked$ $\alfa .2.$ $Trent \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$
$besked$ $\beta .2.$ $I(Trent) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$ ,

hvor I(Trent) er en angriber, der imiterer Trent.

Sessionen repræsenterer det normale forløb af nøgleudvekslingen, når Alice etablerer en session med Bob ved hjælp af nøglen . Så i beskeden efterligner angriberen Trent og gentager beskeden ; hvorefter Bob mener, at Alice forsøger at starte en anden session. $\alfa$ $K$ $\beta .2$ $\alfa .2$

Derudover kan angriberen afspille beskeden til Trent som beskeden for den næste session. Dette vil få Bob til at modtage en anden besked med samme resultat som før. $\alfa .1$

Denne sårbarhed er rettet af den modificerede Wide-Mouthed Frog-protokol ( Lowe modiﬁeret Wide-Mouthed Frog-protokol ) [3] .

Modificeret Wide-Mouthhed Frog Protocol

Denne ændring blev foreslået af Gavin Lowe for at eliminere sårbarheden over for angrebet i 1997. Det ser sådan ud:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \til Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$Bob \til \venstre\{ R_B \right\}_K \til Alice$
$Alice \til \venstre\{ R_B +1\højre\}_K \til Bob$

Disse ændringer vil undgå angrebene fra 1997: Bob vil generere to forskellige nonces, en for hver session, og forventer besked 4 som svar. Samtidig vil Alice kun returnere én sådan besked, og angriberen vil ikke være i stand til at generere. en anden.

Desværre fjerner denne modifikation det mest attraktive træk ved Wide-Mouthed Frog-protokollen - enkelhed [3] .

Funktioner

Kræver en global tæller.
Trent har adgang til alle nøglerne.
Værdien af sessionsnøglen er fuldstændig bestemt af Alice, det vil sige, hun skal være kompetent nok til at generere gode nøgler. $K$
Kan duplikere beskeder, mens tidsstemplet er i kraft.
Alice ved ikke, om Bob findes.
Protokollen er dynamisk, hvilket normalt er uønsket, da det kræver mere funktionalitet fra Trent. For eksempel skal Trent håndtere situationen, når Bob ikke er tilgængelig.

Noter

↑ Pranav Vyas, Dr. Bhushan Trivedi, 2012 .
↑ M. Burrows, M. Abadi, R. Needham, 1989 .
↑ 1 2 3 Gavin Lowe, 1997 .
↑ Bruce Schneier, 2002 .
↑ Ross Anderson og Roger Needham .

Litteratur

Bruce Schneier. Wide-Mouth Frog Protocol // / Anvendt kryptografi. - 2002. - ISBN 5-89392-055-4 .
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // Research Report 39, Digital Equipment Corp. Systemforskningscenter - feb. 1989
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // ACM Transactions on Computer Systems, - v. 8 - n. 1. februar 1990 - s. 18-36
Gavin Lowe A Family of Attacks upon Authentication Protocols // Institut for Matematik og Datalogi, Teknisk rapport 1997/5, University of Leicester Jan. 1997
Pranav Vyas, Dr. Bhushan Trivedi An Analysis Of Session Key Exchange Protocols // International Journal of Engineering Research and Applications Vol. 2, udgave 4, juni-juli 2012, s. 658-663
Ji Ma, Mehmet A. Orgun og Abdul Sattar Analyse af godkendelsesprotokoller i agentbaserede systemer ved hjælp af mærkede tabeller // IEEE-TRANSAKTIONER OM SYSTEMER, MENNESKER OG CYBERNETIK—DEL B: CYBERNETIK, BIND. 39, nr. 4, august 2009
Sikkerhedsprotokol åbent lager
Ross Anderson og Roger Needham programmerer Satans computer // Cambridge University Computer Laboratory Pembroke Street, Cambridge, England CB2 3QG

Autentificering og nøgleudvekslingsprotokoller
Med symmetriske algoritmer	Bred Mund Frø Yahalom Needham-Schroeder-protokollen Otway-Risa-protokollen Kerberos Newman-Stubblebine-protokollen
Med symmetriske og asymmetriske algoritmer	DASS Denning-Sacco-protokollen Wu Lam-protokollen SPKM
Protokoller og tjenester, der bruges på internettet	OAuth Åbn ID Windows Live ID