Protokol Denning-Sacco

Kryptografické zápisy používané v protokolech autentizace a výměny klíčů
Identifikátory Alice ( Alice ), iniciátorky sezení
Identifikátor Boba ( Bob ), strany, ze které je relace navázána
Identifikátor společnosti Trent ( Trent ), důvěryhodné zprostředkující strany
Veřejné klíče Alice, Boba a Trenta
Tajné klíče Alice, Boba a Trenta
Šifrování dat pomocí klíče Alice nebo společného klíče Alice a Trenta
Šifrování dat pomocí Bobova klíče nebo Bobova a Trentova společného klíče
Šifrování dat pomocí tajných klíčů Alice, Bob (digitální podpis)
Pořadové číslo relace (aby se zabránilo útokům z opakovaného přehrávání)
Náhodný klíč relace, který se má použít pro symetrické šifrování dat
Šifrování dat pomocí dočasného klíče relace
Časová razítka přidaná do zpráv od Alice a Boba
Náhodná čísla ( nonce ), která vybrala Alice a Bob
Alice, Bob a Trent předem vygenerované páry veřejného a soukromého klíče
Náhodný pár veřejného/soukromého klíče relace, který se má použít pro asymetrické šifrování
Podepisování dat pomocí soukromého klíče Alice, Boba, zprostředkující strany ( Trent ) nebo soukromého klíče z náhodného páru, resp.
Asymetrické šifrování dat pomocí veřejného klíče Alice, Boba, prostředníka ( Trent ) nebo veřejného klíče z náhodného páru, resp.

Protokol Denning-Sacco [1]  je obecný název pro symetrické a asymetrické protokoly pro distribuci klíčů důvěryhodných stran .

Historie

V roce 1981 představili zaměstnanci Purdue University Dorothy E. Denning a Giovanni Maria Sacco útok na protokol Needham-Schroeder a navrhli vlastní modifikaci protokolu založenou na použití časových značek [2] .

Symetrický klíč Denning-Sacco protokol

U symetrického šifrování se předpokládá, že tajný klíč patřící klientovi zná pouze on a nějaká třetí důvěryhodná strana – autentizační server. Během provádění protokolu klienti (Alice, Bob) obdrží od autentizačního serveru (Trent) nový klíč tajné relace pro šifrování vzájemných zpráv v aktuální komunikační relaci. Zvažte implementaci protokolu Denning-Sacco se symetrickým klíčem [3] :

Popis

První zpráva od Alice Trentovi obsahuje identifikátory účastníků nadcházející výměny - Alice a Bob. Tato zpráva je odeslána jako prostý text:

Trent vygeneruje klíč relace a pošle Alici zašifrovanou zprávu, která obsahuje Bobovo ID, klíč relace, časové razítko a balíček , který funguje jako Alicein certifikát:

Alice poté dešifruje Trentovu zprávu a pošle svůj certifikát Bobovi :

Na konci protokolu mají Alice a Bob sdílený klíč relace .

Alice a Bob si mohou ověřit platnost zpráv, které obdrží, kontrolou časových razítek .

Protokolový útok

V roce 1997 představil Gavin Lowe útok na protokol [4] :

jeden. 2. 3. čtyři.

Útočníkovo jednání vede Boba k rozhodnutí, že Alice s ním chce navázat nové spojení.

Úprava protokolu

Ve stejné práci Low navrhl úpravu protokolu, která zajišťuje autentizaci Alice Bobovi [4] :

jeden. 2. 3. čtyři. 5. Poté, co Bob dešifruje Alicinu zprávu, může ověřit, že Alice vlastní klíč relace .

V rámci protokolu Bob žádným způsobem nepotvrzuje přijetí nového klíče relace a schopnost s ním pracovat. Zpráva od Alice při 5. průchodu mohla být zachycena nebo upravena útočníkem. Ale Alice už od Boba žádnou odpověď neočekává a je si jistá, že protokol byl úspěšně dokončen.

Denning-Sacco Public Key Protocol

Asymetrická verze protokolu Denning-Sacco. Autentizační server vlastní veřejné klíče všech klientů. Zvažte implementaci protokolu Denning-Sacco s veřejným klíčem [5] :

Popis

První zpráva od Alice Trentovi obsahuje identifikátory účastníků nadcházející výměny - Alice a Bob. Tato zpráva je odeslána jako prostý text:

V reakci na to Trent pošle Alici podepsané certifikáty veřejného klíče Alice a Boba. Ke každému certifikátu jsou navíc přidána časová razítka:

Alice vygeneruje nový klíč relace a pošle ho Bobovi spolu s časovým razítkem , podepíše ho svým klíčem a zašifruje Bobovým veřejným klíčem, spolu s oběma zprávami přijatými od Trenta:

Bob ověří podpis CA na certifikátu , dešifruje klíč relace a ověří podpis Alice.

Protokolový útok

Abadi a Needham popsali útok na protokol [6] , ve kterém se Bob poté, co obdržel zprávu od Alice, může vydávat za ni v relaci s jiným uživatelem. Absence Bobova identifikátoru ve zprávě od Alice vede k tomu, že Bob může použít data obdržená od Alice k tomu, aby se za Alici vydával v nové relaci s třetí stranou (Clara).

jeden. 2. 3. čtyři. 5. 6.

Clara úspěšně ověří podpis CA na certifikátu , dešifruje klíč relace a ověří podpis Alice. V důsledku toho si Clara je jistá, že navázala komunikační relaci s Alicí, protože všechny nezbytné kroky protokolu byly provedeny správně a všechny zprávy byly správné.

Poznámky

  1. Davydov A. N. Útoky na klíčové zřizovací protokoly  // Bezpečnost informačních technologií: Sborník z vědeckotechnické konference / ed. Volchikhina V. I., Zefirova S. L. - Penza: Publishing House of the Penza Research Electrotechnical Institute, 2004. - Prosinec ( vol. 5 ). - S. 99-104 . Archivováno z originálu 19. srpna 2019.
  2. Denning, Sacco, 1981 .
  3. Mao, 2005 , str. 79.
  4. 1 2 Lowe, 1997 , The Denning-Sacco shared key protocol, str. 4-5.
  5. Mao, 2005 , str. 429.
  6. Abadi, Needham, 1996 .

Literatura