Rompere un protocollo di autenticazione basato su una chiave simmetrica pre-condivisa

Considera il seguente protocollo, inteso per autenticare (Alice) in (Bob) e viceversa. $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

è un nonce casuale. $R$
è una chiave simmetrica pre-condivisa. $K$
è un certo carico utile. $P$
mezzi cifrati con . $E(m, K)$ $m$ $K$
mezzi assemblato con in un modo che può essere decodificato senza ambiguità. $\langle m_1, m_2\rangle$ $m_1$ $m_2$
Partiamo dal presupposto che gli algoritmi crittografici sono sicuri e implementati correttamente.

Un attaccante (Trudy) vuole convincere Bob ad accettare il suo payload come proveniente da Alice (al posto di ). Trudy può così impersonare Alice? Come? $P_T$ $P_A$

_{Questo è leggermente modificato dall'esercizio 9.6 in Sicurezza delle informazioni: principi e pratica di Mark Stamp . Nella versione del libro, non c'è , l'ultimo messaggio è solo e il requisito è per Trudy di "convincere Bob di essere Alice". Mark Stamp ci chiede di trovare due attacchi, e le due ho trovato permettono Trudy forgiare ma non $P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ .}

cryptography protocols authentication

— Gilles 'SO- smetti di essere malvagio'
fonte

Vedi la discussione sulla crittografia / tag di sicurezza in meta

— Ran G.

Questo protocollo sembra essere insicuro a causa del fatto che Bob invia $E(R_A,K)$ . Questo può essere utilizzato da Trudy per "generare" crittografie di $E(\langle R_A+1,P_T\rangle , K)$ che verrà successivamente utilizzato per completare il protocollo di autenticazione.

In particolare, considera il seguente attacco:

Trudy sceglie casualmente $R_1$ ed esegue il protocollo con Bob nel modo seguente:

\begin{aligned} T \to B : & "Sono Alice", ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$ e poi Trudy taglia il protocollo nel mezzo (dal momento che non sa come rispondere). Partiamo dal presupposto che sia Trudy che Bob abbiano abortito.

Ora Trudy avvia un'altra istanza del protocollo:

\begin{aligned} T \to B : & "Sono Alice", R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$ Come ha fatto Trudy a completare il protocollo questa volta senza saperlo

K

$K$ ? è facile! Bob ha effettivamente eseguito la crittografia per lei in prima istanza.

Lezione appresa: in un protocollo crittografico, è bene che ogni messaggio o frammento separabile contenga un tag univoco che ne impedisce il riutilizzo come qualche altro messaggio nel protocollo. Se la risposta di Bob fosse $E(\langle 1, R_A\rangle)$ e il terzo messaggio era $E(\langle 2, R_A+1, P\rangle)$ , questo attacco non funzionerebbe.

— Suonò.
fonte