Протокол Нидхэма-Шредера

Протокол Нидхэма-Шредера — один из двух ключевых транспортных протоколов, предназначенных для использования в незащищенной сети, оба предложены Роджером Нидхэмом и Майклом Шредером . ^[1] Это:

Протокол симметричного ключа Нидхема -Шредера , основанный на алгоритме симметричного шифрования . Он составляет основу протокола Kerberos . Целью этого протокола является установление сеансового ключа между двумя сторонами в сети, обычно для защиты дальнейшего взаимодействия.
Протокол открытого ключа Нидхема-Шредера , основанный на криптографии с открытым ключом . Этот протокол предназначен для обеспечения взаимной аутентификации между двумя сторонами, общающимися в сети, но в предлагаемой форме он небезопасен.

Симметричный протокол

Здесь Алиса инициирует общение с Бобом ⁠ ⁠ . это сервер, которому доверяют обе стороны. В общении: ${\ displaystyle (A)}$ $B$ $S$

$А$ и являются личностями Алисы и Боба соответственно. $B$
${K_{AS}}$ является симметричным ключом, известным только и $А$ $S$
${K_{BS}}$ является симметричным ключом, известным только и $B$ $S$
$N_{A}$ и являются одноразовыми номерами , генерируемыми и соответственно $N_{B}$ $А$ $B$
${K_{AB}}$ — это симметричный сгенерированный ключ, который будет сеансовым ключом сеанса между и $А$ $B$

Протокол может быть указан следующим образом в обозначениях протокола безопасности :

A\rightarrow S:\left.A,B,N_{A}\right.

Алиса отправляет на сервер сообщение, идентифицируя себя и Боба, сообщая серверу, что она хочет связаться с Бобом.

S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}

Сервер генерирует и отправляет обратно Алисе копию, зашифрованную для Алисы, для пересылки Бобу, а также копию для Алисы. Поскольку Алиса может запрашивать ключи для нескольких разных людей, nonce уверяет Алису, что сообщение свежее и что сервер отвечает на это конкретное сообщение, а включение имени Боба сообщает Алисе, с кем ей следует поделиться этим ключом.

{K_{AB}}

{K_{BS}}

A\rightarrow B:\{K_{AB},A\}_{K_{BS}}

Алиса пересылает ключ Бобу, который может расшифровать его с помощью ключа, которым он делится с сервером, тем самым аутентифицируя данные.

B\rightarrow A:\{N_{B}\}_{K_{AB}}

Боб отправляет Алисе зашифрованный одноразовый номер, чтобы показать, что у него есть ключ.

{K_{AB}}

A\rightarrow B:\{N_{B}-1\}_{K_{AB}}

Алиса выполняет простую операцию с одноразовым номером, повторно шифрует его и отправляет обратно, проверяя, что она все еще жива и что у нее есть ключ.

Атаки на протокол

Протокол уязвим для атаки повторного воспроизведения (как определили Деннинг и Сакко ^[2] ). Если злоумышленник использует старое, скомпрометированное значение для ⁠ ⁠ $K_{AB}$ , он может затем воспроизвести сообщение Бобу, который примет его, будучи не в состоянии определить, что ключ устарел. $\{K_{AB},A\}_{K_{BS}}$

Исправление атаки

Этот недостаток исправлен в протоколе Kerberos путем включения временной метки . Это также можно исправить с помощью одноразовых номеров, как описано ниже. ^[3] В начале протокола:

A\rightarrow B:A

Алиса отправляет Бобу запрос.

B\rightarrow A:\{A,N_{B}'\}_{K_{BS}}

Боб отвечает с помощью nonce, зашифрованного под его ключом на Сервере.

A\rightarrow S:\left.A,B,N_{A},\{A,N_{B}'\}_{K_{BS}}\right.

S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A,N_{B}'\}_{K_{BS}}\}_{K_ {КАК}}

Обратите внимание на включение nonce.

Затем протокол продолжается, как описано, в течение последних трех шагов, как описано в исходном протоколе выше. Обратите внимание, что это другой одноразовый номер, чем ⁠ ⁠ . Включение этого нового nonce предотвращает воспроизведение скомпрометированной версии, поскольку такое сообщение должно иметь форму , которую злоумышленник не сможет подделать, поскольку у него нет ⁠ ⁠ . $N_{B}'$ $N_{B}$ $\{K_{AB},A\}_{K_{BS}}$ $\{K_{AB},A,N_{B}'\}_{K_{BS}}$ $K_{BS}$

Протокол открытого ключа

Это предполагает использование алгоритма шифрования с открытым ключом .

Здесь Алиса и Боб используют доверенный сервер для распространения открытых ключей по запросу. Эти ключи: ${\ displaystyle (A)}$ $(B)$ $(S)$

$K_{PA}$ и ⁠ ⁠ $K_{SA}$ , соответственно, публичная и частная половины пары ключей шифрования, принадлежащей ( здесь означает «секретный ключ») $А$ $S$
$K_{PB}$ и ⁠ ⁠ $K_{SB}$ , аналогичные принадлежащие $B$
$K_{PS}$ и ⁠ ⁠ $K_{SS}$ , аналогичные принадлежащие ⁠ ⁠ $S$ . (Обратите внимание, что эта пара ключей будет использоваться для цифровых подписей , т. е. использоваться для подписи сообщения и использоваться для проверки. Она должна быть известна до запуска протокола.) $K_{SS}$ $K_{PS}$ $K_{PS}$ $А$ $B$

Протокол работает следующим образом:

A\rightarrow S:\left.A,B\right.

А

запрашивает открытые ключи ⁠ ⁠ у

B

⁠ ⁠

S

S\rightarrow A:\{K_{PB},B\}_{K_{SS}}

S

отвечает открытым ключом вместе с личностью ⁠ ⁠ , подписанным сервером в целях аутентификации.

K_{PB}

B

A\rightarrow B:\{N_{A},A\}_{K_{PB}}

А

выбирает случайный результат и отправляет его ⁠ ⁠ .

N_{A}

B

B\rightarrow S:\left.B,A\right.

B

теперь знает, что A хочет общаться, поэтому запрашивает открытые ключи ⁠ ⁠ .

B

А

S\rightarrow B:\{K_{PA},A\}_{K_{SS}}

Сервер отвечает.

B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

B

выбирает случайный ⁠ ⁠

N_{B}

и отправляет его вместе с , чтобы доказать способность расшифровать с помощью ⁠ ⁠ .

А

N_{A}

K_{SB}

A\rightarrow B:\{N_{B}\}_{K_{PB}}

А

подтверждает ⁠ ⁠ , чтобы доказать способность расшифровать с помощью ⁠ ⁠ .

N_{B}

B

K_{SA}

В конце протокола мы знаем личности друг друга, знаем обоих и ⁠ ⁠ . Эти одноразовые номера неизвестны перехватчикам. $А$ $B$ $N_{A}$ $N_{B}$

Атака на протокол

Этот протокол уязвим для атаки «человек посередине» . Если самозванец сможет убедить начать с ним сеанс, он сможет передать сообщения и убедить , что он общается с ⁠ ⁠ . $I$ $А$ $B$ $B$ $А$

Игнорируя входящий и исходящий трафик , который не изменяется, атака выполняется следующим образом: $S$

A\rightarrow I:\{N_{A},A\}_{K_{PI}}

А

отправляет ⁠ ⁠ , который расшифровывает сообщение с помощью ⁠ ⁠ .

N_{A}

I

K_{SI}

I\rightarrow B:\{N_{A},A\}_{K_{PB}}

I

передает сообщение ⁠ ⁠

B

, делая вид, что общается.

А

B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}

B

отправляет .

N_{B}

I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

I

передает его ⁠ ⁠

А

A\rightarrow I:\{N_{B}\}_{K_{PI}}

A

расшифровывает и подтверждает это ⁠ ⁠ , который его узнает.

NB

I

I\rightarrow B:\{N_{B}\}_{K_{PB}}

I

повторно шифрует ⁠ ⁠

N_{B}

и убеждает , что она его расшифровала.

B

В конце атаки ошибочно полагает, что с ним общаются и что известны только им и ⁠ ⁠ . $B$ $A$ $N_{A}$ $N_{B}$ $A$ $B$

Следующий пример иллюстрирует атаку. Алиса ( ⁠ ⁠ $A$ ) хотела бы связаться со своим банком ( ⁠ ⁠ $B$ ). Мы предполагаем, что самозванец ( ⁠ ⁠ $I$ ) успешно убеждает , что он и есть банк. Как следствие, она использует открытый ключ вместо использования открытого ключа для шифрования сообщений, которые она намеревается отправить в свой банк. Поэтому отправляет ей nonce, зашифрованный открытым ключом ⁠ ⁠ . расшифровывает сообщение, используя свой закрытый ключ, и контакты отправляют его в зашифрованном виде с помощью открытого ключа . не имеет возможности узнать, что это сообщение на самом деле было отправлено ⁠ ⁠ . отвечает своим собственным nonce и шифрует сообщение открытым ключом ⁠ ⁠ . Поскольку у них нет закрытого ключа, им приходится передавать сообщение, не зная его содержания. А расшифровывает сообщение своим закрытым ключом и отвечает одноразовым номером, зашифрованным открытым ключом ⁠ ⁠ . расшифровывает сообщение, используя свой закрытый ключ, и теперь владеет nonce и ⁠ ⁠ . Таким образом, теперь они могут выдавать себя за банк и клиента соответственно. $A$ $A$ $I$ $B$ $A$ $I$ $I$ $I$ $B$ $A$ $B$ $B$ $I$ $B$ $A$ $I$ $A$ $A$ $B$ $I$ $I$ $A$ $B$

Исправление атаки «человек посередине»

Атака была впервые описана в статье Гэвина Лоу в 1995 году . ^[4] В документе также описывается фиксированная версия схемы, называемая протоколом Нидхэма-Шредера-Лоу . Исправление включает в себя изменение шестого сообщения, включив в него личность отвечающего, то есть мы заменяем:

B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

с фиксированной версией:

B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}

и злоумышленник не может успешно воспроизвести сообщение, потому что A ожидает сообщение, содержащее идентификатор I, тогда как сообщение будет иметь идентификатор ⁠ ⁠ $B$ .

Смотрите также

Внешние ссылки

Викискладе есть медиафайлы, связанные с протоколом Нидхэма-Шредера .

Роджер Нидэм; Майкл Шредер (1978). «Открытый ключ Нидхэма-Шредера». Лаборатория спецификации и проверки.
Роджер Нидэм; Майкл Шредер (1978). «Симметричный ключ Нидхэма Шредера». Лаборатория спецификации и проверки.
Гэвин Лоу (1995). «Фиксированная версия открытого ключа Нидхэма-Шредера Лоу». Лаборатория спецификации и проверки.
Объяснение атаки «человек посередине» от Computerphile .