Unterbrechen Sie ein Authentifizierungsprotokoll, das auf einem vorinstallierten symmetrischen Schlüssel basiert

Betrachten Sie das folgende Protokoll zur Authentifizierung von (Alice) gegenüber (Bob) und umgekehrt. $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{EIN} \\ B \to EIN : & E (R_{EIN}, K) \\ EIN \to B : & E (⟨ R_{EIN} + 1, P_{EIN} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ ist eine zufällige Nonce.
$K$ ist ein vorinstallierter symmetrischer Schlüssel.
$P$ ist eine Nutzlast.
$E(m, K)$ bedeutet mit verschlüsseltes . $m$ $K$
$\langle m_1, m_2\rangle$ bedeutet , das mit auf eine Weise zusammengesetzt ist, die eindeutig dekodiert werden kann. $m_1$ $m_2$
Wir gehen davon aus, dass die kryptografischen Algorithmen sicher und korrekt implementiert sind.

Ein Angreifer (Trudy) möchte Bob überzeugen, ihre Nutzlast als von Alice stammend (anstelle von ) zu akzeptieren . Kann Trudy sich also als Alice ausgeben? Wie? $P_T$ $P_A$

_{Dies wurde im Vergleich zu Übung 9.6 in Informationssicherheit: Grundsätze und Vorgehen von Mark Stamp geringfügig geändert . In der Buchversion gibt es kein , die letzte Nachricht ist nur und Trudy muss „Bob davon überzeugen, dass sie Alice ist“. Mark Stamp bittet uns, zwei Angriffe zu finden, und die beiden, die ich gefunden habe, erlauben Trudy, aber nicht .
$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$}

cryptography protocols authentication

— Gilles 'SO - hör auf böse zu sein'
quelle

Siehe Diskussion über die Kryptographie / Sicherheits-Tags in Meta

— Ran G.

Dieses Protokoll scheint unsicher zu sein, da Bob sendet . Dies kann durch Trudy zu „erzeugen“ Verschlüsselungen verwendet wird , von , die später verwendet werden , um das Authentifizierungsprotokoll abzuschließen. $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

Betrachten Sie insbesondere den folgenden Angriff:

Trudy wählt zufällig und führt das Protokoll mit Bob folgendermaßen aus: $R_1$ und dann das Protokoll Trudy Schnitte in der Mitte (da sie nicht weißwie manAntwort). Wir gehen davon aus, dass sowohl Trudy als auch Bob abbrechen.

\begin{aligned} T \to B : & "Ich bin Alice", ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

Nun startet Trudy eine weitere Instanz des Protokolls: Wie hat Trudy das Protokoll dieses Mal abschließenohnewissen? es ist einfach! Bob hat die Verschlüsselung in erster Linie für sie durchgeführt.

\begin{aligned} T \to B : & "Ich bin Alice", R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ran G.
quelle