Širokoústa žába

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 17. prosince 2021; ověření vyžaduje 1 úpravu . Kryptografické zápisy používané v protokolech autentizace a výměny klíčů

$A$	Identifikátory Alice ( Alice ), iniciátorky sezení
$B$	Identifikátor Boba ( Bob ), strany, ze které je relace navázána
$T$	Identifikátor společnosti Trent ( Trent ), důvěryhodné zprostředkující strany
$K_{A},K_{B},K_{T}$	Veřejné klíče Alice, Boba a Trenta
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Tajné klíče Alice, Boba a Trenta
$E_{A},\left\{...\right\}_{K_{A}}$	Šifrování dat pomocí klíče Alice nebo společného klíče Alice a Trenta
$E_{B},\left\{...\right\}_{K_{B}}$	Šifrování dat pomocí Bobova klíče nebo Bobova a Trentova společného klíče
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Šifrování dat pomocí tajných klíčů Alice, Bob (digitální podpis)
$já$	Pořadové číslo relace (aby se zabránilo útokům z opakovaného přehrávání)
$K$	Náhodný klíč relace, který se má použít pro symetrické šifrování dat
$E_{K},\left\{...\right\}_{K}$	Šifrování dat pomocí dočasného klíče relace
$T_{A},T_{B}$	Časová razítka přidaná do zpráv od Alice a Boba
$R_{A},R_{B}$	Náhodná čísla ( nonce ), která vybrala Alice a Bob

Wide-Mouth Frog je možná nejjednodušší protokol pro výměnu symetrických klíčů pomocí důvěryhodného serveru. (Alice) a (Bob) sdílejí tajný klíč s (Trentem). V tomto protokolu se klíče používají pouze pro jejich distribuci, nikoli pro šifrování zpráv [1] . $A$ $B$ $T$

Historie

Protokol je připsán Michaelu Burrowsovi a byl poprvé publikován v Michael Burrows, Martin Abadi a Roger Needham. Logika autentizace“ [2] v roce 1989. V roce 1997 Gavin Lowe ( počítačový vědec) ve své práci "A Family of Attacks upon Authentication Protocols" [3] navrhl upravený protokol Wide-Mouthed Frog ( Lowe modifikovaný Wide-Mouthed Frog protokol ), který opravuje některé zranitelnosti.

Protokol širokoústé žáby [4]

K zahájení relace zasílání zpráv Alice zašifruje zřetězení časového razítka, Bobovo ID a vygenerovaný náhodný klíč relace. Šifrovací klíč je klíč, který zná Alice a Trent – zprostředkující důvěryhodný server. Poté Alice dá Trentovi své jméno (v čistém textu) a zašifrovaná data.

Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent

Trent dešifruje paket s klíčem sdíleným s Alicí, vybere náhodný klíč relace vygenerovaný Alicí a zřetězí nové časové razítko, Aliciin identifikátor a klíč relace, načež jej zašifruje klíčem sdíleným s Bobem a pošle mu jej.

Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bobovi

Poté Bob dešifruje datový paket pomocí klíče sdíleného s Trentem a může použít náhodný klíč relace vygenerovaný Alicí k přenosu dat.

Útoky na protokol Wide-Mouthed Frog

1995 útok

V roce 1995 navrhli Ross Anderson a Roger Needham následující protokolový útočný algoritmus :

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bobovi$
$Já (Bob) \do \doleva\{ B, E_B \doleva( T_T, A, K \doprava) \doprava\} \k Trentovi$
$Trent \to \left\{ E_A \left( T'_T, B, K \right) \right\} \to Alice$
$Já(Alice) \do \doleva\{ A, E_A \doleva( T'_T, B, K \doprava) \doprava\} \do Trenta$
$Trent \to \left\{ E_B \left( T''_T, A, K \right) \right\} \to Bobovi$ ,

kde I(Alice) a I(Bob) jsou útočník napodobující Alici a Boba .

Chyba v protokolu spočívá v tom, že Trent aktualizuje své časové razítko z Alicina časového razítka . To znamená, že dokud Trent neuchovává seznam všech funkčních klíčů a štítků, může útočník udržet klíče funkční pomocí Trenta jako prediktoru. $T_{T}$ $T_{A}$

Praktický účinek tohoto nedostatku bude záviset na aplikaci. Pokud například uživatelé používají čipovou kartu s tímto protokolem, která odesílá klíč relace v prostém textu do rutiny softwarového hromadného šifrování , mohou být klíče vystaveny tomuto útoku. Útočník může sledovat, jak Alice a Bob provádějí relace a nechat klíče funkční, dokud nebude možné ukrást čipovou kartu [5] .

1997 útok

V roce 1997 navrhl Gavin Lowe další útok na tento protokol, založený na skutečnosti, že útočník přiměje Boba myslet si, že Alice vytvořila dvě výměnné relace, zatímco Alice založí jednu relaci. Útok zahrnuje dva prokládané průchody protokolu, které zavoláme a označíme například zprávu druhé relace \alpha as Pak útok vypadá takto: $\alpha$ $\beta$ $\alpha .2.$

$zpráva$ $\alpha .1.$ $Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$zpráva$ $\alpha .2.$ $Trent \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bobovi$
$zpráva$ $\beta .2.$ $I(Trent) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bobovi$ ,

kde I(Trent) je útočník napodobující Trenta.

Relace představuje normální průběh výměny klíčů, když Alice naváže relaci s Bobem pomocí klíče . Poté ve zprávě útočník napodobí Trenta a zopakuje zprávu ; načež Bob věří, že se Alice pokouší zahájit druhé sezení. $\alpha$ $K$ $\beta .2$ $\alpha .2$

Kromě toho může útočník přehrát zprávu Trentovi jako zprávu další relace. To způsobí, že Bob obdrží druhou zprávu se stejným výsledkem jako předtím. $\alpha .1$

Tato chyba zabezpečení je opravena upraveným protokolem Wide-Mouthed Frog ( Lowe modifikovaný protokol Wide-Mouthed Frog ) [3] .

Modifikovaný protokol Wide-Mouthed Frog

Tuto úpravu navrhl Gavin Lowe, aby odstranil zranitelnost vůči útoku z roku 1997. Vypadá to takto:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bobovi$
$Bob \to \left\{ R_B \right\}_K \to Alice$
$Alice \to \left\{ R_B +1\right\}_K \to Bobovi$

Tyto změny zabrání útokům z roku 1997: Bob vygeneruje dva různé nonce, jeden pro každou relaci, a jako odpověď očekává zprávu 4. Zároveň Alice vrátí pouze jednu takovou zprávu a útočník nebude schopen vygenerovat další.

Tato úprava bohužel odstraňuje nejatraktivnější vlastnost protokolu Wide-Mouthed Frog – jednoduchost [3] .

Funkce

Vyžaduje globální počítadlo.
Trent má přístup ke všem klíčům.
Hodnotu klíče relace zcela určuje Alice, to znamená, že musí být dostatečně kompetentní, aby generovala dobré klíče. $K$
Může duplikovat zprávy, když je platné časové razítko.
Alice neví, jestli Bob existuje.
Protokol je dynamický, což je obvykle nežádoucí, protože vyžaduje od společnosti Trent více funkcí. Trent se například musí vypořádat se situací, kdy Bob není k dispozici.

Poznámky

↑ Pranav Vyas, Dr. Bhushan Trivedi, 2012 .
↑ M. Burrows, M. Abadi, R. Needham, 1989 .
↑ 1 2 3 Gavin Lowe, 1997 .
↑ Bruce Schneier, 2002 .
↑ Ross Anderson a Roger Needham .

Literatura

Bruce Schneier. Wide-Mouth Frog Protocol // / Aplikovaná kryptografie. - 2002. - ISBN 5-89392-055-4 .
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // Research Report 39, Digital Equipment Corp. Centrum pro výzkum systémů – únor. 1989
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // ACM Transactions on Computer Systems, - v. 8 - n. 1. února 1990 - str. 18-36
Gavin Lowe A Family of Attacks on Authentication Protocols // Katedra matematiky a informatiky, Technická zpráva 1997/5, Univerzita Leicester Jan. 1997
Pranav Vyas, Dr. Bhushan Trivedi Analýza protokolů výměny klíčů relace // International Journal of Engineering Research and Applications Vol. 2, číslo 4, červen-červenec 2012, str. 658-663
Ji Ma, Mehmet A. Orgun a Abdul Sattar Analýza autentizačních protokolů v systémech založených na agentech pomocí značených tabulek // TRANSAKCE IEEE NA SYSTÉMECH, ČLOVĚKU A KYBERNETICE — ČÁST B: CYBERNETICS, VOL. 39, č. 4. srpna 2009
Bezpečnostní protokol Otevřené úložiště
Ross Anderson a Roger Needham Programování Satanova počítače // Cambridge University Computer Laboratory Pembroke Street, Cambridge, Anglie CB2 3QG

Protokoly ověřování a výměny klíčů
Se symetrickými algoritmy	Širokoústa žába Yahalom Protokol Needham-Schroeder Protokol Otway-Risa Kerberos Protokol Newman-Stubblebine
Se symetrickými a asymetrickými algoritmy	DASS Protokol Denning-Sacco Wu Lam protokol SPKM
Protokoly a služby používané na internetu	OAuth Otevřít ID Windows Live ID