Groda med bred mun

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 17 december 2021; verifiering kräver 1 redigering . Kryptografiska notationer som används i autentiserings- och nyckelutbytesprotokoll

$A$	Identifierare av Alice ( Alice ), initiativtagaren till sessionen
$B$	Identifierare för Bob ( Bob ), den sida från vilken sessionen etableras
$T$	Identifierare för Trent ( Trent ), en pålitlig mellanpart
$K_{A},K_{B},K_{T}$	Alice, Bob och Trents publika nycklar
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Hemliga nycklar till Alice, Bob och Trent
$E_{A},\left\{...\right\}_{K_{A}}$	Kryptering av data med Alices nyckel, eller Alice och Trents gemensamma nyckel
$E_{B},\left\{...\right\}_{K_{B}}$	Kryptera data med Bobs nyckel eller Bob och Trents gemensamma nyckel
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Datakryptering med hemliga nycklar från Alice, Bob (digital signatur)
$jag$	Sessionssekvensnummer (för att förhindra reprisattacker)
$K$	Slumpmässig sessionsnyckel som ska användas för symmetrisk datakryptering
$E_{K},\left\{...\right\}_{K}$	Krypterar data med en tillfällig sessionsnyckel
$T_{A},T_{B}$	Tidsstämplar har lagts till i meddelanden av Alice respektive Bob
$R_{A},R_{B}$	Slumptal ( nonce ) som valdes av Alice respektive Bob

Wide-Mouth Frog är kanske det enklaste protokollet för symmetriskt nyckelutbyte med en betrodd server. (Alice) och (Bob) delar en hemlig nyckel med (Trent). I detta protokoll används nycklar endast för deras distribution, och inte för att kryptera meddelanden [1] . $A$ $B$ $T$

Historik

Protokollet krediteras Michael Burrows och publicerades först i Michael Burrows, Martin Abadi och Roger Needham. En logik för autentisering" [2] 1989. År 1997 föreslog Gavin Lowe ( datavetare) i sitt arbete "A Family of Attacks upon Authentication Protocols" [3] ett modifierat Wide-Mouthed Frog-protokoll ( Lowe modiﬁed Wide-Mouthed frog protocol ), som korrigerar vissa sårbarheter.

Wide-Mouthed Frog Protocol [4]

För att starta en meddelandesession krypterar Alice sammankopplingen av tidsstämpeln, Bobs ID och en genererad slumpmässig sessionsnyckel. Krypteringsnyckeln är en nyckel som är känd för Alice och Trent - en mellanliggande betrodd server. Efter det ger Alice sitt namn (i klartext) och krypterad data till Trent.

Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \till Trent

Trent dekrypterar paketet med nyckeln som delas med Alice, väljer en slumpmässig sessionsnyckel genererad av Alice och sammanfogar den nya tidsstämpeln, Alices identifierare och sessionsnyckeln, varefter han krypterar det med nyckeln som delas med Bob och skickar den till honom.

Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob

Efter det dekrypterar Bob datapaketet med nyckeln som delas med Trent och kan använda den slumpmässiga sessionsnyckeln som genererats av Alice för att överföra data.

Attacker mot Wide-Mouthed Frog Protocol

1995 attack

1995 föreslog Ross Anderson och Roger Needham följande protokollattackalgoritm :

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \till Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$I(Bob) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Trent$
$Trent \to \left\{ E_A \left( T'_T, B, K \right) \right\} \to Alice$
$I(Alice) \to \left\{ A, E_A \left( T'_T, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T''_T, A, K \right) \right\} \to Bob$ ,

där I(Alice) och I(Bob) är en angripare som imiterar Alice respektive Bob .

Felet i protokollet är att Trent uppdaterar sin tidsstämpel från Alices tidsstämpel . Det vill säga, så länge som Trent inte för en lista över alla fungerande nycklar och etiketter, kan en angripare hålla nycklarna fungerande genom att använda Trent som en prediktor. $T_{T}$ $T_{A}$

Den praktiska effekten av denna brist beror på tillämpningen. Om användare till exempel använder ett smartkort med detta protokoll, som skickar sessionsnyckeln i klartext till programvarubulkkrypteringsrutinen , kan nycklarna utsättas för denna attack. En angripare kan se Alice och Bob genomföra sessioner och hålla nycklarna fungerande tills det är möjligt att stjäla ett smartkort [5] .

1997 attack

1997 föreslog Gavin Lowe en annan attack mot detta protokoll, baserat på det faktum att angriparen får Bob att tro att Alice har etablerat två utbytessessioner, medan Alice etablerar en session. Attacken involverar två interfolierade protokollpass, som vi kommer att anropa och , beteckna, till exempel, det andra sessionsmeddelandet \alpha som Då ser attacken ut så här: $\alfa$ $\beta$ $\alfa .2.$

$meddelande$ $\alfa .1.$ $Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \till Trent$
$meddelande$ $\alfa .2.$ $Trent \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$
$meddelande$ $\beta .2.$ $I(Trent) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$ ,

där I(Trent) är en angripare som imiterar Trent.

Sessionen representerar det normala förloppet av nyckelutbytet när Alice upprättar en session med Bob med hjälp av nyckeln . Sedan i meddelandet imiterar angriparen Trent och upprepar meddelandet ; varpå Bob tror att Alice försöker starta en andra session. $\alfa$ $K$ $\beta .2$ $\alfa .2$

Dessutom kan angriparen spela upp meddelandet till Trent som meddelandet för nästa session. Detta gör att Bob får ett andra meddelande, med samma resultat som tidigare. $\alfa .1$

Denna sårbarhet korrigeras av det modifierade Wide-Mouthed Frog-protokollet ( Lowe modiﬁerat Wide-Mouthed Frog-protokoll ) [3] .

Modifierat Wide-Mouthhed Frog Protocol

Denna ändring föreslogs av Gavin Lowe för att eliminera sårbarheten för 1997 års attack. Det ser ut så här:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \till Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$Bob \to \left\{ R_B \right\}_K \till Alice$
$Alice \to \left\{ R_B +1\right\}_K \till Bob$

Dessa ändringar kommer att undvika attackerna från 1997: Bob kommer att generera två olika nonces, en för varje session, och förväntar sig meddelande 4 som ett svar. Samtidigt kommer Alice att returnera endast ett sådant meddelande, och angriparen kommer inte att kunna generera annan.

Tyvärr tar denna modifiering bort den mest attraktiva egenskapen hos Wide-Mouthed Frog-protokollet - enkelhet [3] .

Funktioner

Kräver en global räknare.
Trent har tillgång till alla nycklar.
Värdet på sessionsnyckeln bestäms helt av Alice, det vill säga hon måste vara kompetent nog att generera bra nycklar. $K$
Kan duplicera meddelanden medan tidsstämpeln är aktiv.
Alice vet inte om Bob finns.
Protokollet är dynamiskt, vilket vanligtvis är oönskat eftersom det kräver mer funktionalitet från Trent. Trent måste till exempel ta itu med situationen när Bob inte är tillgänglig.

Anteckningar

↑ Pranav Vyas, Dr. Bhushan Trivedi, 2012 .
↑ M. Burrows, M. Abadi, R. Needham, 1989 .
↑ 1 2 3 Gavin Lowe, 1997 .
↑ Bruce Schneier, 2002 .
↑ Ross Anderson och Roger Needham .

Litteratur

Bruce Schneier. Wide-Mouth Frog Protocol // / Tillämpad kryptografi. - 2002. - ISBN 5-89392-055-4 .
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // Forskningsrapport 39, Digital Equipment Corp. Systemforskningscentrum - feb. 1989
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // ACM Transactions on Computer Systems, - v. 8 - n. 1 februari 1990 - sid. 18-36
Gavin Lowe A Family of Attacks upon Authentication Protocols // Institutionen för matematik och datavetenskap, teknisk rapport 1997/5, University of Leicester Jan. 1997
Pranav Vyas, Dr. Bhushan Trivedi An Analysis Of Session Key Exchange Protocols // International Journal of Engineering Research and Applications Vol. 2, nummer 4, juni-juli 2012, sid. 658-663
Ji Ma, Mehmet A. Orgun och Abdul Sattar Analys av autentiseringsprotokoll i agentbaserade system med etiketterade tabeller // IEEE-TRANSAKTIONER PÅ SYSTEM, MÄNNISKOR OCH CYBERNETIK—DEL B: CYBERNETIK, VOL. 39, nr. 4 augusti 2009
Security Protocol Open Repository
Ross Anderson och Roger Needham programmerar Satans dator // Cambridge University Computer Laboratory Pembroke Street, Cambridge, England CB2 3QG

Autentisering och nyckelutbytesprotokoll
Med symmetriska algoritmer	Groda med bred mun Yahalom Needham-Schroeder-protokollet Otway-Risa-protokollet Kerberos Newman-Stubblebine-protokollet
Med symmetriska och asymmetriska algoritmer	DASS Denning-Sacco-protokollet Wu Lam-protokollet SPKM
Protokoll och tjänster som används på Internet	OAuth Öppna ID Windows Live ID