Phá vỡ giao thức xác thực dựa trên khóa đối xứng được chia sẻ trước

Hãy xem xét các giao thức sau, có nghĩa là để xác thực (Alice) thành (Bob) và ngược lại. $A$ $B$

\begin{aligned} Một \to B : & Tôi là Alice Alice, R_{Một} \\ B \to Một : & E (R_{Một}, K) \\ Một \to B : & E (⟨ R_{Một} + 1, P_{Một} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ là một nonce ngẫu nhiên.
$K$ là khóa đối xứng được chia sẻ trước.
$P$ là một số tải trọng.
$E(m, K)$ phương tiện được mã hóa với . $m$ $K$
$\langle m_1, m_2\rangle$ có nghĩa là được lắp ráp với theo cách có thể được giải mã rõ ràng. $m_1$ $m_2$
Chúng tôi giả định rằng các thuật toán mật mã là an toàn và được thực hiện chính xác.

Kẻ tấn công (Trudy) muốn thuyết phục Bob chấp nhận tải trọng của cô đến từ Alice (thay cho ). Trudy có thể mạo danh Alice không? Làm sao? $P_T$ $P_A$

_{Điều này được sửa đổi một chút so với bài tập 9.6 trong Bảo mật thông tin: Nguyên tắc và thực hành của Mark Stamp . Trong phiên bản sách, không có , tin nhắn cuối cùng chỉ là , và yêu cầu là để Trudy nói với Bob thuyết phục Bob rằng cô ấy là Alice Muff. Mark Stamp yêu cầu chúng tôi tìm hai cuộc tấn công và hai cuộc tấn công mà tôi tìm thấy cho phép Trudy giả mạo nhưng không phải .
$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$}

cryptography protocols authentication

— Gilles 'SO- ngừng là ác'
nguồn

Xem thảo luận về các mật mã / thẻ bảo mật trong meta

— Ran G.

Giao thức này dường như không an toàn do thực tế là Bob gửi . Điều này có thể được sử dụng bởi Trudy để "tạo" encryptions của mà sau này sẽ được sử dụng để hoàn thành giao thức xác thực. $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

Cụ thể, hãy xem xét các cuộc tấn công sau:

Trudy chọn ngẫu nhiên và chạy giao thức với Bob theo cách sau: $R_1$ và cắt giảm sau đó Trudy giao thức ở giữa (kể từ khi cô không biết làm thế nào để trả lời). Chúng tôi giả sử cả Trudy và Bob phá thai.

\begin{aligned} T \to B : & Tôi là Alice Alice, ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

Bây giờ Trudy bắt đầu một phiên bản khác của giao thức: Làm sao Trudy hoàn thành giao thức thời gian này mà không biết? dễ thôi! Bob thực sự đã thực hiện mã hóa cho cô ấy trong trường hợp đầu tiên.

\begin{aligned} T \to B : & Tôi là Alice Alice, R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ran G.
nguồn