Протокол Нидхема – Шредера - Needham–Schroeder protocol

Симметричная схема протокола Нидхема – Шредера

В Протокол Нидхема – Шредера является одним из двух ключевых транспортных протоколов, предназначенных для использования в незащищенной сети, оба предложены Роджер Нидхэм и Майкл Шредер.^[1] Это:

В Протокол симметричного ключа Нидхема – Шредера, на основе симметричный алгоритм шифрования. Он составляет основу Kerberos протокол. Этот протокол направлен на создание ключ сеанса между двумя сторонами в сети, как правило, для защиты дальнейшего обмена данными.
В Протокол открытого ключа Нидхема – Шредера, на основе криптография с открытым ключом. Этот протокол предназначен для обеспечения взаимной аутентификация между двумя сторонами, общающимися в сети, но в предлагаемой форме небезопасно.

Симметричный протокол

Здесь, Алиса (A) инициирует связь с Бобом (B). S - это сервер, которому доверяют обе стороны. В сообщении:

A и B - личности Алисы и Боба соответственно.
K_{В КАЧЕСТВЕ} симметричный ключ, известный только A и S
K_BS симметричный ключ, известный только B и S
N_А и н_B находятся одноразовые номера порожденные A и B соответственно
K_AB симметричный сгенерированный ключ, который будет ключ сеанса сеанса между A и B

Протокол может быть определен следующим образом в обозначение протокола безопасности:

${ displaystyle A rightarrow S: left.A, B, N_ {A} right.}$

Алиса отправляет сообщение на сервер, идентифицируя себя и Боба, сообщая серверу, что она хочет связаться с Бобом.

${ displaystyle S rightarrow A: {N_ {A}, K_ {AB}, B, {K_ {AB}, A } _ {K_ {BS}} } _ {K_ {AS}}}$

Сервер генерирует

{ displaystyle {K_ {AB}}}

и отправляет обратно Алисе копию, зашифрованную под

{ displaystyle {K_ {BS}}}

для Алисы, чтобы переслать Бобу, а также копию для Алисы. Поскольку Алиса может запрашивать ключи для нескольких разных людей, одноразовый номер гарантирует Алисе, что сообщение свежее и что сервер отвечает на это конкретное сообщение, а включение имени Боба говорит Алисе, с кем она должна поделиться этим ключом.

${ displaystyle A rightarrow B: {K_ {AB}, A } _ {K_ {BS}}}$

Алиса пересылает ключ Бобу, который может расшифровать его с помощью ключа, которым он поделился с сервером, тем самым аутентифицируя данные.

${ displaystyle B rightarrow A: {N_ {B} } _ {K_ {AB}}}$

Боб отправляет Алисе одноразовый номер, зашифрованный под

{ displaystyle {K_ {AB}}}

чтобы показать, что у него есть ключ.

${ displaystyle A rightarrow B: {N_ {B} -1 } _ {K_ {AB}}}$

Алиса выполняет простую операцию с одноразовым номером, повторно шифрует его и отправляет обратно, подтверждая, что она все еще жива и что у нее есть ключ.

Атаки на протокол

Протокол уязвим для повторная атака (как определено Деннинг и Сакко^[2]). Если злоумышленник использует старое скомпрометированное значение K_AB, он может затем воспроизвести сообщение ${ displaystyle {K_ {AB}, A } _ {K_ {BS}}}$ Бобу, который примет его, будучи не в состоянии сказать, что ключ не свежий.

Устранение атаки

Этот недостаток исправлен в Протокол Kerberos путем включения отметка времени. Это также можно исправить с помощью одноразовых номеров, как описано ниже.^[3] В начале протокола:

{ displaystyle A rightarrow B: A}

Алиса отправляет Бобу запрос.

{ displaystyle B rightarrow A: {A, mathbf {N_ {B} '} } _ {K_ {BS}}}

Боб отвечает одноразовым номером, зашифрованным под его ключом с Сервером.

{ displaystyle A rightarrow S: left.A, B, N_ {A}, {A, mathbf {N_ {B} '} } _ {K_ {BS}} right.}

Алиса отправляет сообщение на сервер, идентифицируя себя и Боба, сообщая серверу, что она хочет связаться с Бобом.

{ displaystyle S rightarrow A: {N_ {A}, K_ {AB}, B, {K_ {AB}, A, mathbf {N_ {B} '} } _ {K_ {BS}} } _ {K_ {AS}}}

Обратите внимание на включение одноразового номера.

Затем протокол продолжается, как описано в последних трех шагах, как описано в исходном протоколе. над. Обратите внимание, что ${ displaystyle N_ {B} '}$ отличается от ${ displaystyle N_ {B}}$ .Включение этого нового одноразового номера предотвращает повторное воспроизведение скомпрометированной версии ${ displaystyle {K_ {AB}, A } _ {K_ {BS}}}$ поскольку такое сообщение должно иметь форму ${ displaystyle {K_ {AB}, A, mathbf {N_ {B} '} } _ {K_ {BS}}}$ который злоумышленник не может подделать, так как у него нет ${ displaystyle K_ {BS}}$ .

Протокол открытого ключа

Это предполагает использование алгоритм шифрования с открытым ключом.

Здесь Алиса (A) и Боб (B) используют доверенный сервер (S) для распространения открытых ключей по запросу. Эти ключи:

K_PA и K_SAсоответственно открытая и закрытая половины пары ключей шифрования, принадлежащих A (S означает «секретный ключ» здесь)
K_PB и K_SB, аналогичные принадлежащим B
K_PS и K_SS, похожий на принадлежность S. (Обратите внимание, что эта пара ключей будет использоваться для цифровые подписи, т.е. K_SS используется для подписи сообщения и K_PS используется для проверки. K_PS должны быть известны A и B до запуска протокола.)

Протокол работает следующим образом:

${ displaystyle A rightarrow S: left.A, B right.}$

A запрашивает открытые ключи B у S

${ displaystyle S rightarrow A: {K_ {PB}, B } _ {K_ {SS}}}$

S отвечает открытым ключом K_PB вместе с личностью B, подписанной сервером в целях аутентификации.

${ displaystyle A rightarrow B: {N_ {A}, A } _ {K_ {PB}}}$

A выбирает случайное N_А и отправляет его Б.

${ displaystyle B rightarrow S: left.B, A right.}$

Теперь B знает, что A хочет связаться, поэтому B запрашивает открытые ключи A.

${ displaystyle S rightarrow B: {K_ {PA}, A } _ {K_ {SS}}}$

Сервер отвечает.

${ displaystyle B rightarrow A: {N_ {A}, N_ {B} } _ {K_ {PA}}}$

B выбирает случайное N_B, и отправляет его A вместе с N_А доказать способность дешифровать с помощью K_SB.

${ displaystyle A rightarrow B: {N_ {B} } _ {K_ {PB}}}$

А подтверждает N_B в B, чтобы доказать способность дешифровать с помощью K_SA

В конце протокола A и B знают личности друг друга и знают как N_А и н_B. Эти nonce не известны перехватчикам.

Атака на протокол

К сожалению, этот протокол уязвим для атака "человек посередине". Если самозванец ${ displaystyle I}$ может убедить ${ displaystyle A}$ чтобы инициировать сеанс с ними, они могут передавать сообщения ${ displaystyle B}$ и убедить ${ displaystyle B}$ что он общается с ${ displaystyle A}$ .

При игнорировании трафика к S и от S, который остается неизменным, атака выполняется следующим образом:

${ displaystyle A rightarrow I: {N_ {A}, A } _ {K_ {PI}}}$

A отправляет N_А I, который расшифровывает сообщение с помощью K_SI

${ displaystyle I rightarrow B: {N_ {A}, A } _ {K_ {PB}}}$

Я передаю сообщение B, делая вид, что A общается

${ displaystyle B rightarrow I: {N_ {A}, N_ {B} } _ {K_ {PA}}}$

B отправляет N_B

${ displaystyle I rightarrow A: {N_ {A}, N_ {B} } _ {K_ {PA}}}$

Я передаю его на А

${ displaystyle A rightarrow I: {N_ {B} } _ {K_ {PI}}}$

A расшифровывает N_B и подтверждает это мне, кто это узнает

${ displaystyle I rightarrow B: {N_ {B} } _ {K_ {PB}}}$

Я повторно шифрую N_B, и убеждает B, что она его расшифровала

В конце атаки B ложно полагает, что A общается с ним, и что N_А и н_B известны только A и B.

Следующий пример иллюстрирует атаку. Алиса (A) хотела бы связаться со своим банком (B). Мы предполагаем, что самозванец (I) успешно убеждает A в том, что это банк. Как следствие, A использует открытый ключ I вместо использования открытого ключа B для шифрования сообщений, которые она намеревается отправить в свой банк. Следовательно, A отправляет мне свой одноразовый номер, зашифрованный открытым ключом I. Я расшифровываю сообщение, используя свой закрытый ключ, и связываюсь с B, отправляя ему одноразовый номер A, зашифрованный открытым ключом B. B не имеет возможности узнать, что это сообщение было фактически отправлено I. B отвечает своим собственным одноразовым номером и шифрует сообщение открытым ключом A. Поскольку я не владею закрытым ключом A, они должны передать сообщение A, не зная содержимого. A расшифровывает сообщение своим закрытым ключом и отвечает одноразовым номером B, зашифрованным открытым ключом I. Я расшифровываю сообщение, используя свой закрытый ключ, и теперь у него есть одноразовые номера A и B. Таким образом, теперь они могут выдавать себя за банк и клиент соответственно.

Исправляем атаку "человек посередине"

Атака была впервые описана в статье 1995 г. Гэвин Лоу.^[4]В статье также описана фиксированная версия схемы, называемая Протокол Нидхема – Шредера – Лоу. Исправление включает в себя модификацию шестого сообщения для включения личности респондента, то есть мы заменяем:

${ displaystyle B rightarrow A: {N_ {A}, N_ {B} } _ {K_ {PA}}}$

с фиксированной версией:

${ displaystyle B rightarrow A: {N_ {A}, N_ {B}, B } _ {K_ {PA}}}$

и злоумышленник не может успешно воспроизвести сообщение, поскольку A ожидает сообщения, содержащего идентификатор I, тогда как сообщение будет иметь идентификатор B.

Смотрите также

внешняя ссылка

Роджер Нидхэм и Майкл Шредер (1978). «Открытый ключ Нидхема-Шредера». Laboratoire Spécification et Vérification.CS1 maint: использует параметр авторов (связь)

Роджер Нидхэм и Майкл Шредер (1978). "Симметричный ключ Нидхема Шредера". Laboratoire Spécification et Vérification.CS1 maint: использует параметр авторов (связь)

Гэвин Лоу (1995). «Фиксированная версия открытого ключа Нидхема-Шредера Лоу». Laboratoire Spécification et Vérification.CS1 maint: использует параметр авторов (связь)

[needham-schroeder-1] Нидхэм, Роджер; Шредер, Майкл (декабрь 1978). «Использование шифрования для аутентификации в больших компьютерных сетях». Коммуникации ACM. 21 (12): 993–999. CiteSeerX 10.1.1.357.4298. Дои:10.1145/359657.359659. S2CID 7704786.

[2] Деннинг, Дороти Э.; Сакко, Джованни Мария (1981). «Метки времени в протоколах распределения ключей». Коммуникации ACM. 24 (8): 533–535. Дои:10.1145/358722.358740. S2CID 3228356.

[3] Нидхэм, Р. М.; Шредер, М. (1987). «Повторная проверка подлинности». Обзор операционных систем ACM SIGOPS. 21 (1): 7. Дои:10.1145/24592.24593. S2CID 33658476.

[lowe-4] Лоу, Гэвин (ноябрь 1995 г.). «Атака на протокол аутентификации с открытым ключом Нидхема-Шредера». Письма об обработке информации. 56 (3): 131–136. CiteSeerX 10.1.1.394.6094. Дои:10.1016/0020-0190(95)00144-2. Получено 2008-04-17.

[1]

[2]

[3]

[4]