Romper un protocolo de autenticación basado en una clave simétrica precompartida

Considere el siguiente protocolo, destinado a autenticar $A$ (Alice) a $B$ (Bob) y viceversa.

\begin{aligned} A \to si : & "Soy Alice", R_{UN} \\ si \to UN : & mi (R_{UN}, K) \\ UN \to si : & mi (⟨ R_{UN} + 1, {PAG}_{UN} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ es un nonce aleatorio.
es una clave simétrica precompartida. $K$
es una carga útil. $P$
medios cifran con . $E(m, K)$ $m$ $K$
medios ensamblado con de una manera que puede ser decodificado de forma inequívoca. $\langle m_1, m_2\rangle$ $m_1$ $m_2$
Suponemos que los algoritmos criptográficos son seguros e implementados correctamente.

Un atacante (Trudy) quiere convencer a Bob para que acepte su carga útil como proveniente de Alice (en lugar de ). ¿Puede Trudy hacerse pasar por Alice? ¿Cómo? $P_T$ $P_A$

_{Esto se modificó ligeramente del ejercicio 9.6 en Seguridad de la información: Principios y práctica de Mark Stamp . En la versión del libro, no hay , el último mensaje es solo , y el requisito es que Trudy "convenza a Bob de que ella es Alice". Marca del sello nos pide encontrar dos ataques, y los dos me encontré permite Trudy para forjar , pero no $P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ .}

cryptography protocols authentication Gilles 'SO- deja de ser malvado'
fuente

Ver discusión sobre las etiquetas de criptografía / seguridad en meta

Ran G.

Respuestas:

Este protocolo parece ser inseguro debido al hecho de que Bob envía . Esto puede ser usado por Trudy "generar" encriptaciones de que posteriormente se utiliza para completar el protocolo de autenticación. $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

Específicamente, considere el siguiente ataque:

Trudy elige azar y ejecuta el protocolo con Bob de la siguiente manera: $R_1$

\begin{aligned} T \to si : & "Soy Alice", ⟨ R_{1} + 1, {PAG}_{T} ⟩ \\ si \to T : & mi (⟨ R_{1} + 1, {PAG}_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

\begin{aligned} T \to si : & "Soy Alice", R_{1} \\ si \to T : & mi (R_{1}, K) \\ T \to si : & mi (⟨ R_{1} + 1, {PAG}_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

Sonó.
fuente