Yahalom

Kryptografiske notationer, der bruges i godkendelses- og nøgleudvekslingsprotokoller

$EN$	Identifikatorer for Alice ( Alice ), initiativtageren til sessionen
$B$	Identifikator for Bob ( Bob ), den side, hvorfra sessionen er etableret
$T$	Identifikator for Trent ( Trent ), en betroet mellempart
$K_{A},K_{B},K_{T}$	Alice, Bob og Trents offentlige nøgler
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Alice, Bob og Trents hemmelige nøgler
$E_{A},\venstre\{...\right\}_{K_{A}}$	Kryptering af data med Alices nøgle, eller Alice og Trents fælles nøgle
$E_{B},\venstre\{...\højre\}_{K_{B}}$	Kryptering af data med Bobs nøgle eller Bob og Trents fælles nøgle
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Datakryptering med hemmelige nøgler af Alice, Bob (digital signatur)
$jeg$	Sessionssekvensnummer (for at forhindre gentagelsesangreb)
$K$	Tilfældig sessionsnøgle, der skal bruges til symmetrisk datakryptering
$E_{K},\venstre\{...\højre\}_{K}$	Kryptering af data med en midlertidig sessionsnøgle
$T_{A},T_{B}$	Tidsstempler føjet til beskeder af henholdsvis Alice og Bob
$R_{A},R_{B}$	Tilfældige tal ( nonce ), der blev valgt af henholdsvis Alice og Bob

Yahalom er en symmetrisk nøgledistributionsprotokol med en pålidelig server. Yahalom-protokollen kan ses som en forbedret version af Wide-Mouth Frog- protokollen . Denne protokol "skifter" genereringen af en ny sessionsnøgle til det betroede center og bruger også tilfældige tal til at beskytte mod gentagelsesangreb [1] .

Beskrivelse

Med symmetrisk kryptering antages det, at den hemmelige nøgle, som tilhører klienten, kun er kendt af ham og en tredje betroet part - autentificeringsserveren. Under protokolsessionen modtager klienterne Alice og Bob en ny hemmelig sessionsnøgle fra Trent-godkendelsesserveren for at kryptere gensidige beskeder i den aktuelle kommunikationssession. Protokolimplementering [2] :

{\textstyle (1)Alice\til \venstre\{A,R_{A}\right\}\til Bob}

{\textstyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}

{\textstyle (3)Trent\til \venstre\{E_{A}(B,K,R_{A},R_{B}),E_{B}\venstre(A,K\right)\right\} \til Alice}

{\textstyle (4)Alice\til \venstre\{E_{B}(A,K),E_{K}(R_{B})\right\}\til Bob}

Først starter Alice en session ved at sende Bob hendes ID og et tilfældigt nummer : $EN$ $R_{A}$

(1)Alice\to \left\{A,R_{A}\right\}\to Bob

Efter at have modtaget en besked fra Alice, kombinerer Bob Alices ID, Alices tilfældige nummer og sit eget tilfældige nummer og krypterer den oprettede besked med nøglen, der deles med Trent. Efter at have tilføjet sit ID til denne besked, sender Bob den modtagne besked til Trent: $EN$ $R_{A}$ $R_{B}$ $B$

(2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent

Trent afkoder Bobs besked og opretter to beskeder. Den første besked inkluderer Bobs ID , Trents genererede sessionsnøgle , Alices tilfældige tal og Bobs tilfældige tal . Denne besked er krypteret med nøglen, der deles med Alice. Den første besked ser sådan ud: $B$ $K$ $R_{A}$ $R_{B}$

{\displaystyle \left\{E_{A}(B,K,R_{A},R_{B})\right\))

Den anden besked er krypteret med den delte nøgle mellem Trent og Bob og inkluderer Alices ID　og Trents genererede sessionsnøgle　. Den anden besked ser sådan ud: $EN$ $K$

{\displaystyle \left\{E_{B}(A,K)\right\))

Trent videresender begge beskeder, han oprettede, til Alice:

(3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}\left(A,K\right)\right\} \til Alice

Alice modtager to beskeder fra Trent og dekrypterer den første. Efter at have dekrypteret beskeden udtrækker Alice sessionsnøglen og sikrer sig, at det tilfældige tal givet af Trent stemmer overens med det tilfældige tal givet til Bob i det første trin. Alice sender derefter to beskeder til Bob. Den første besked er beskeden modtaget fra Trent, krypteret med den delte nøgle mellem Trent og Bob. Denne besked består af Alices identifikator og sessionsnøgle : $K$ $R_{A}$ $EN$ $K$

{\displaystyle \left\{E_{B}(A,K)\right\))

Den anden besked er krypteret med en sessionsnøgle genereret af Trent, Bobs tilfældige nummer : $R_{B}$

{\displaystyle \left\{E_{K}(R_{B})\right\))

Alice sender begge beskeder til Bob:

(4)Alice\to \left\{E_{B}(A,K),E_{K}(R_{B})\right\}\to Bob

Bob dekrypterer den første besked og udtrækker sessionsnøglen . Ved at bruge den hentede sessionsnøgle dekrypterer Bob den anden besked og modtager et tilfældigt tal . Bob kontrollerer nummeret modtaget fra Alice med det tilfældige nummer sendt i andet trin. Efter de beskrevne handlinger kan parterne bruge den nye sessionsnøgle [2] }. $K$ $R_{B}$ $K$

Yahalom-protokollen giver udover at generere en sessionsnøgle godkendelse af parterne:

Alices autentificering til Bob sker i det fjerde trin , hvor Bob kan teste Alices evne til at kryptere et tilfældigt tal, som kun er kendt af hende og Trent på nøglen . $(4)$ $R_{A}$ $K$

Bobs autentificering til Alice sker i det tredje trin , da Trent viser Alice, at han fik det tilfældige nummer fra Bob (fordi beskeden indeholder Bobs ID ) [1] . $(3)$ $R_{A}$ $B$

Som et resultat af Yahalom-protokollen er Alice og Bob overbeviste om, at de kommunikerer med hinanden og ikke med en ukendt tredjepart. I modsætning til Wide-Mouth Frog- protokollen har parterne mulighed for at sikre sig, at den mellemliggende server genererer en delt hemmelig nøgle for dem to og ikke for en tredjepart (selvom denne protokol ikke beskytter mod fuldstændig kompromittering af den betroede parti) [2] .

Protokolsårbarheder

Yahalom-protokollen har en række sårbarheder, der kan udnyttes af angribere.

Inden for rammerne af protokollen demonstrerede Bob på ingen måde, at han med succes modtog en ny sessionsnøgle og kan bruge den. Beskeden fra Alice på fjerde trin kunne opsnappes eller ændres af angribere. Men Alice forventer ikke længere noget svar fra Bob og er sikker på, at protokollen blev gennemført med succes. $K$ $(4)$

I det tredje trin inkluderer Trent ikke det tilfældige tal i beskeden , hvilket gør det muligt for Alice at tvinge Bob til at acceptere den gamle sessionsnøgle [3] . I dette tilfælde vil protokollen se sådan ud: $(3)$ $R_{B}$ ${\displaystyle \left\{E_{B}(A,K)\right\))$

(1)Alice\to \left\{A,R_{A}\right\}\to Bob

(2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent

Trent genererer en ny sessionsnøgle $K$

(3)Trent\til \venstre\{E_{A}(B,K,R_{A},R_{B}),E_{B}(A,K)\right\}\til Alice

Alice bruger den gamle sessionsnøgle og sender en besked $K^{*}$

E_{B}(A,K^{*})

fra en gammel protokolsession

(4)Alice\to \left\{E_{B}(A,K^{*}),E_{K}(R_{B})\right\}\to Bob

Protokolændring

I en artikel fra 1989 foreslog Michael Burrows, Martin Abadi og Roger Needham deres egen version af Yahalom-protokollen:

(1)Alice\to \left\{A,R_{A}\right\}\to Bob

(2)Bob\to \left\{B,R_{B},E_{B}(A,R_{A})\right\}\to Trent

(3)Trent\til \venstre\{R_{B},E_{A}(B,K,R_{A}),E_{B}\venstre(A,K,R_{B}\right )\right\}\til Alice

(4)Alice\to \left\{E_{B}(A,K,R_{B}),E_{K}(R_{B})\right\}\to Bob

I denne version af protokollen er der ingen grund til at bruge en ikke-certificeret nøgle, da aktualiteten af den sidste meddelelse er garanteret af et tilfældigt tal . Der er ingen grund til at kryptere Bobs tilfældige nummer i anden fase og i den første besked i tredje fase . Resultatet er det samme resultat, men med mindre kryptering [4] . $R_{B}$ $R_{B}$ $(2)$ $(3)$

Litteratur

Vladimirov S.M. Lærebog om informationssikkerhed ved Institut for Radioteknik og Kontrolsystemer ved Moskva Institut for Fysik og Teknologi (6. september 2013). (Russisk)
Schneier B. Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - Triumph, 2002. - 816 s. - ISBN 5-89392-055-4 .
Lawrence. Relations Between Secrets: To formelle analyser af Yahalom-protokollen (engelsk) // Journal of Computer Security. - Computer Laboratory, University of Cambridge, Pembroke Street, Cambridge CB2 3QG, UK., 2001. - Vol. 9 , iss. 1. juli 2001 , nr. 3 . - S. 197-216 . - doi : 10.3233/JCS-2001-9302 .
M. Burrows, M. Abadi, R. Needham. En autentificeringslogik . — Digital Equipment Corp. Systemforskningscenter, 1989.

Autentificering og nøgleudvekslingsprotokoller
Med symmetriske algoritmer	Bred Mund Frø Yahalom Needham-Schroeder-protokollen Otway-Risa-protokollen Kerberos Newman-Stubblebine-protokollen
Med symmetriske og asymmetriske algoritmer	DASS Denning-Sacco-protokollen Wu Lam-protokollen SPKM
Protokoller og tjenester, der bruges på internettet	OAuth Åbn ID Windows Live ID