Maffiabluff

Maffiabedrägeriattack är ett av sätten som nollkunskapsbevis missbrukas . Denna metod beskrevs först av Yvo Desmedt [1 ] . Metoden fick sitt namn tack vare uttalandet av Adi Shamir [2] , som han gjorde under diskussionen om Faig-Fiat-Shamirs nollkunskapsidentifieringsprotokoll [3] :

Jag kan gå till en maffiaägd butik en miljon gånger i rad och de kan fortfarande inte efterlikna mig.

Originaltext (engelska)[ visaDölj] Jag kan gå till en maffiaägd butik en miljon gånger i rad och de kommer fortfarande inte att kunna framställa sig själva som mig.

Men i själva verket är sådant bedrägeri möjligt.

Beskrivning

Låt det vara 4 deltagare: A , B , C , D . Dessutom samarbetar B och C med varandra ("tillhör samma maffia"). A bevisar sin identitet för B och C vill imitera A framför D. Vanligtvis beskrivs bedrägeri enligt följande: B äger en restaurang som ägs av maffian, C är också en representant för maffian, D är juvelerare. A och D är omedvetna om det kommande bedrägeriet. I samma ögonblick som A är redo att betala för middagen och identifierar sig för B , meddelar B C om starten på bluffen. Detta är möjligt på grund av närvaron av en radiokanal mellan dem. Vid denna tidpunkt väljer C den diamant han vill köpa, och D börjar identifiera C (egentligen A ). C skickar en protokollfråga till B , som i sin tur ställer den till A. Svaret sänds i omvänd ordning. Således kommer A att betala inte bara för middag, utan också för en dyr diamant [4] .

Som framgår av ovanstående finns det vissa krav för sådant bedrägeri. Till exempel måste ögonblicken när A börjar bevisa sin identitet för B och C till D synkroniseras exakt [2] .

Maffians bedrägeri är användbart i situationer där man behöver attackera ett system där autentiseringen är framgångsrik endast om bevisaren är i närheten av den förtroende parten, och framgångsrik autentisering tillåter bevisaren att få någon tjänst som tillhandahålls av den förtroende parten [5] .

Applikationsexempel

Det bedrägeri som utförs av maffian används i stor utsträckning för att attackera RFID-system . Ett RFID-system ( Eng. Radio Frequency IDentification, radio frequency identification ) består av en läsare (läsare) och en transponder (RFID-taggar). Anta att en inkräktare är på väg att få obehörig tillgång till en bil. Åtkomst ges via RFID (i detta fall kommer transpondern att vara ett kontaktlöst kort ). Inkräktaren, som har ett falskt kort ("skurkkort"), befinner sig bredvid bilen och upprättar en förbindelse mellan sitt kort och läsaren av bilens RFID-system ("legitima läsare"). Samtidigt är medbrottslingen, som har en annan läsare (”skurkläsare”), bredvid bilens ägare och upprättar en koppling till den legitima ägarens kort. Således sänder en av angriparna som har ett falskt kort meddelanden som tagits emot från en legitim läsare till sin medbrottsling, som vidarebefordrar dessa meddelanden till bilägarens kort (transponder). Svaret som tas emot från en legitim transponder skickas längs samma krets i motsatt riktning och når i slutändan läsaren som är installerad på bilen [6] .
Maffiabedrägeriattack kan också användas för att attackera radaridentifieringssystemet Identification Friend or Foe (IFF) . Många IFF-system använder utmaning -respons-autentisering. Till exempel kan två flygplan W och B identifiera varandra genom IFF, medan två fientliga flygplan A1 och A2 försöker utge sig för "sitt eget". I det här fallet tillämpas ett schema som liknar schemat för att attackera RFID-system. Till exempel skickar W en förfrågan till A1 för att han ska kunna bekräfta sin identitet, A1 vidarebefordrar ett meddelande till A2 , A2 skickar i sin tur denna begäran till flygplan B , som, som "vänner" för W , svarar med rätt meddelande. Detta svar skickas längs samma väg till W . Således kommer W och B att betrakta "sina" A1 respektive A2 [ 7] .

Sätt att förhindra

Maffia-utförda bedrägeriförebyggande tekniker, med hjälp av så kallade avståndsgränsande protokoll, citerades först i Stefan Brands och David Chaums arbete. Denna teknik används när en av parterna som interagerar enligt något kryptografiskt protokoll behöver veta att den andra parten inte befinner sig på mer avstånd än ett visst. Om en person till exempel använder ett elektroniskt märke vid entrén till en byggnad, måste autentiseringssystemet fastställa att personen inte befinner sig mer än ett visst avstånd från entrén. Enligt Brands och Chaum är grundelementet i ett avståndsbegränsat protokoll enkelt. Den bygger på principen utmaning-svar . Det finns k omedelbara bitbyten ("snabba bitbyten") mellan deltagarna P och V , P ("Prover") är den som bevisar sin kunskap, V ("Verifier") är den som verifierar äktheten av det P bevisar . Parametern k är en hemlig protokollparameter. Bitutbytet är momentant i den meningen att P , efter att ha tagit emot en bit från V , skickar en svarsbit omedelbart [8] .

Ett exempel på ett avståndsbegränsat protokoll
Ett av de vanliga avståndsbegränsade protokollen är protokollet från Gerhard P. Hancke och Markus G. Kuhn [9] , som används flitigt i RFID-system [10] . I det första steget av protokollet utbyter P (Prover) och V (Verifier) slumpmässigt genererade engångskoder ( Nonce ) (det vill säga P och V genererar och sänder bitsekvenser respektive ). Båda parter beräknar sedan samma bitsekvenser och använder en pseudo-slumpmässig funktion (vanligtvis en MAC eller kryptografisk hashfunktion ), dvs här är K en hemlig nyckel som är känd för båda parter. Därefter görs en serie av n momentana bitbyten mellan de två parterna. I varje enskilt utbyte skickar V en bit (”utmaning”) till provaren P . Om denna bit är 0, kommer P att skicka bitnummer i från sekvensen som ett svarsmeddelande . Om det är lika med 1, kommer svarsmeddelandet att vara bitnummer i från sekvensen . I sin tur, efter varje bitutbyte, kontrollerar V alla mottagna meddelanden för korrekthet, och jämför också tiden som förflutit från det ögonblick då meddelandet skickades till det ögonblick då svarsbiten togs emot, med ett visst inställt värde t . Om alla mottagna meddelanden och tider är korrekta anses utbytet vara framgångsrikt [11] . $N_p$ $N_v$ ${\displaystyle v^{\left({0}\right)))$ ${\displaystyle v^{\left({1}\right)))$ $MAC_{K}\left({N_{v},N_{p))\right)=v^{\left({0}\right)}\left|\right|v^{\left( {1}\right)}$ $C_i$ ${\displaystyle v^{\left({0}\right)))$ $C_{i}$ ${\displaystyle v^{\left({1}\right)))$ $C_{i}$
För att utföra en attack byggs angriparen in i detta schema och innan V skickade meddelandet gissar han motsvarande bit och skickar det sedan omedelbart till sidan P . När angriparen får ett meddelande från P jämför han och . Om bitarna matchar (sannolikheten för en matchning är 1/2) kommer angriparen att skicka rätt meddelande till verifieraren V , i den återstående hälften av fallen när bitarna inte matchade försöker bedragaren gissa värdet nu och skickar den till V . Sannolikheten för att en angripare ger rätt värde är alltså 3/4. För n -bitars utbyten får vi att sannolikheten för en lyckad attack är [10] . $C_{i}$ ${C_{i))'$ $C_{i}$ ${C_{i))'$ ${\displaystyle v_{i}^{\left({C_{i}}\right)))$ ${\displaystyle v_{i}^{\left({C_{i}}\right)))$ ${\displaystyle v_{i}^{\left({C_{i}}\right)))$ ${\displaystyle {\left({3 \over 4}\right)}^{n))$
Sedan publiceringen av Hanke och Kuhns arbete har flera lösningar föreslagits för att öka effektiviteten i protokollet, till exempel föreslog Tu (Yu-Ju Tu) och Piramuthu (Selwyn Piramuthu) sitt avståndsbegränsade protokoll, som använder några av de principerna för Hanke och Kuhn-protokollet, men tillåter att minska sannolikheten för en framgångsrik attack är upp till 9/16 (för ett utbyte av bitar) [12] .

Andra sätt

Identifiering måste ske i en Faraday-bur . Om det finns en Faraday-bur i juvelerarens butik, kommer maffiosterna inte att kunna utbyta meddelanden [2] .

Ivo Desmedt och Thomas Beth ( engelska Thomas Beth ) föreslog användningen av exakta klockor. Om varje steg i protokollet äger rum inom den exakta tidsperioden, kommer maffian helt enkelt inte att ha tid att skicka meddelanden till varandra. Det bör också beaktas att meddelanden mellan provaren och bekräftaren inte överförs omedelbart, utan med viss fördröjning. Denna fördröjning beror på att ljusets hastighet inte är oändlig, så tiden som spenderas på överföringen av meddelanden är lika med , där l är avståndet mellan sidorna och c är ljusets hastighet [13] . $l/c$

Andra missbruk av Zero-Knowledge Proof

En intressant förlängning av maffia-utförda bedrägerier är attacken "terroristbedrägeri" [5] . I denna typ av attack är angriparen A (motståndaren) och bevisaren i maskopi, det vill säga bevisaren P är en oärlig deltagare i interaktionen (oärlig bevisare). P använder bedragarens hjälp för att bevisa för den förtroende parten V att han är i närheten. Angriparen känner inte till värdet på den hemliga nyckel som innehas av P . Detta är inte förvånande, eftersom A vanligtvis i praktiken är en liten enhet som har viss processorkraft och minne. Denna enhet måste placeras nära V (förtroende part). Bevisaren har inte full kontroll över angriparen, så P kan inte lita på enhet A med sitt lösenord . Annars kan till exempel någon annan bedragare attackera enheten, få tag på den hemliga nyckeln som tillhör P , och imitera P [14] .
Det främsta sättet att förhindra bedrägeri som utförs av terrorister är också användningen av avståndsbegränsade protokoll. Dock kommer inte alla fjärrbegränsade protokoll som är tillämpliga vid maffia-utförda bedrägerier att hjälpa till att undvika en sådan attack. Till exempel är Hanke och Kuhn-protokollet som nämns ovan sårbart för terroristbedrägeri. Protokollets bevisande part, belägen långt från verifieraren V , kan helt enkelt överföra de beräknade sekvenserna och till angriparen, belägen nära V . Då kommer bedragaren att kunna svara korrekt på begäranden från den verifierande deltagaren, samtidigt som han håller sig inom tidsramen. Det är värt att notera att även med sekvenser av bitar och , kommer en angripare inte att kunna imitera P i framtiden , eftersom han inte känner till den hemliga nyckeln, och sekvenserna och är engångs [15] . Ett av de välkända avståndsbegränsade protokollen som är tillämpliga för att förhindra bedrägeri utförda av terrorister är till exempel Reid et al.s protokoll [15] . ${\displaystyle v^{\left({0}\right)))$ ${\displaystyle v^{\left({1}\right)))$ ${\displaystyle v^{\left({0}\right)))$ ${\displaystyle v^{\left({1}\right)))$ $N_p$ $N_v$
Det finns flera andra metoder för missbruk av noll-kunskapsbevis, såsom multipersonligt bedrägeri och stormästarproblemet [16] .

Anteckningar

↑ Desmedt, 1988 .

↑ 1 2 3 Bengio, Brassard, Desmedt et al., 1991 .

↑ Feige, Fiat, Shamir, 1988 .

↑ Schneier, 2003 , sid. 93.

↑ 1 2 Singlelee, Preneel, 2005 .

↑ Zhang, Kitsos, 2009 , sid. 151-156.

↑ Alkassar, Stuble, 2002 .

↑ Brands, Chaum, 1994 , sid. 344-359.

↑ Hancke och Kuhn, 2005 , sid. 67-73.

↑ 1 2 Chong Hee Kim et al, 2008 , sid. 98-115.

↑ Singlelee et al, 2007 , sid. 101-115.

↑ Tu, Piramuthu, 2007 .

↑ Beth, Desmedt, 1991 .

↑ Cremers et al, 2012 .

↑ 12 Reid et al, 2007 .

↑ Schneier, 2003 , sid. 92.

Litteratur

Desmedt Y. G. , Goutier C. , Bengio S. Special Uses and Abuses of the Fiat-Shamir Passport Protocol (extended abstract ) // Advances in Cryptology - CRYPTO '87 : A Conference on the Theory and Applications of Cryptographic Techniques, Santa Barbara, Kalifornien , USA, 16-20 augusti 1987, Proceedings / C. Pomerance - Berlin : Springer Berlin Heidelberg , 1987. - S. 21-39. - ( Lecture Notes in Computer Science ; Vol. 293) - ISBN 978-3-540-18796-7 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-48184-2_3

Desmedt Y. G. Stora säkerhetsproblem med de "unforgeable" (Feige)-Fiat-Shamir identitetsbevisen och hur man övervinner dem // SECURICOM 88 : 6th Worldwide Cong.Computer and Communications Security and Protection - Groupe Blenheim-SEDEP , 1988. - P 147-159.

Feige U. , Fiat A. , Shamir A. Zero-Knowledge Proofs of Identity (engelska) // Journal of Cryptology / I. Damgård - Springer Science + Business Media , International Association for Cryptologic Research , 1988. - Vol. 1, Iss. 2. - S. 77-94. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF02351717

Beth T. , Desmedt Y. G. Identification Tokens - eller: Solving The Chess Grandmaster Problem // Advances in Cryptology - CRYPTO '90 : 10th Annual International Cryptology Conference, Santa Barbara, Kalifornien, USA, 11-15 augusti 1990, Proceedings / A. J. Menezes , S. A. Vanstone - Berlin , Heidelberg , New York, NY , London [etc.] : Springer Berlin Heidelberg , 1991. - P. 169-176. - ( Lecture Notes in Computer Science ; Vol. 537) - ISBN 978-3-540-54508-8 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/3-540-38424-3_12

Bengio S. , Brassard G. , Desmedt Y. G. , Goutier C. , Quisquater J. Säker implementering av identifieringssystem // Journal of Cryptology / I. Damgård - Springer Science+Business Media , International Association for Cryptologic Research , 1991 - Vol. 4, Iss. 3. - S. 175-183. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF00196726

Alkassar A. , Stüble C. Towards Secure IFF: Preventing Mafia Fraud Attacks // MILCOM 2002. Proceedings - IEEE , 2002. - Vol. 2. - ISBN 978-0-7803-7625-0

Singelee D. , Preneel B. Platsverifiering med säkra avståndsgränsprotokoll // Mobile Adhoc and Sensor Systems Conference, 2005. IEEE International Conference on - IEEE , 2005. - ISBN 978-0-7803-9465-0

Zhang Y. , Kitsos P. Säkerhet i RFID- och sensornätverk (engelska) - Boston : Auerbach Publications , 2009. - 560 sid. - ( Trådlösa nätverk och mobil kommunikation ) - ISBN 978-1-4200-6839-9

Stefan Brands, David Chaum. Distance-Bounding Protocols // Framsteg inom kryptologi - EUROCRYPT '93. - Springer Berlin Heidelberg, 1994. - S. 344-359 .

Gerhard P. Hancke, Markus G. Kuhn. An RFID Distance Bounding Protocol // SECURECOMM '05 Proceedings of the First International Conference on Security and Privacy for Emerging Areas in Communications Networks. — IEEE Computer Society Washington, DC, USA, 2005. — s. 67–73 . Arkiverad från originalet den 21 oktober 2016.

Chong Hee Kim, Gildas Avoine, Fran ̧cois Koeune, Fran ̧cois-Xavier Standaert, Olivier Pereira. The Swiss-Knife RFID Distance Bounding Protocol // Informationssäkerhet och kryptologi - ICISC 2008. - Springer Berlin Heidelberg, 2008. - P. 98-115 .

Yu-Ju Tu, Selwyn Piramuthu. RFID Distance Bounding Protocols // I den första internationella EURASIP-workshopen i RFID-teknik, Wien, Österrike. – 2007.

Cas Cremers, Kasper B. Rasmussen, Benedikt Schmidt, Srdjan Capkun. Avståndskapningsattacker mot avståndsbegränsande protokoll // Proceedings of the 2012 IEEE Symposium on Security and Privacy. - IEEE Computer Society Washington, DC, 2012. - s. 113-127 .

Bruce Schneier. Utvecklade protokoll // Tillämpad kryptografi. - 2:a uppl. - Triumph, 2003. - S. 92-93. — 816 sid. - 3000 exemplar. - ISBN 5-89392-055-4 .

Jason Reid, Juan M. Gonzalez Nieto, Tee Tang, Bouchra Senadji. Upptäcka reläattacker med tidsbaserade protokoll // Fortsätt ASIACCS '07 Proceedings of the 2nd ACM-symposium on information, computer and communications security. - ACM New York, NY, USA, 2007. - S. 204-213 .

Thomas Beth, Yvo Desmedt. Identifieringstokens - eller: Lösa schackstormästarproblemet . — Springer Berlin Heidelberg, 1991.

Dave Singelee, Bart Preneel. Avståndsbegränsande i bullriga miljöer // Proceeding ESAS'07 Proceedings of the 4th European conference on Security and privacy in ad-hoc and sensor networks. — Springer Berlin Heidelberg, 2007.