Quebrar um protocolo de autenticação com base em uma chave simétrica pré-compartilhada


13

Considere o seguinte protocolo, destinado a autenticar (Alice) a (Bob) e vice-versa.AB

AB:"Eu sou Alice",RUMABUMA:E(RUMA,K)UMAB:E(RUMA+1,PUMA,K)
  • R é um nonce aleatório.
  • K é uma chave simétrica pré-compartilhada.
  • P é alguma carga útil.
  • E(m,K) meios encriptado com .mK
  • meios de m 1 montado com m 2 de uma forma que pode ser descodificado sem ambiguidade.m1,m2m1m2
  • Assumimos que os algoritmos criptográficos são seguros e implementados corretamente.

Um atacante (Trudy) quer convencer Bob aceitar sua carga como vindo de Alice (no lugar de P A ). Trudy pode assim personificar Alice? Quão?PTPUMA

Isso é ligeiramente modificado do exercício 9.6 em Segurança da informação: princípios e práticas de Mark Stamp . Na versão do livro, não há , a última mensagem é apenas E ( R A + 1 , K ) , e o requisito é que Trudy “convença Bob de que ela é Alice”. Mark Stamp nos pede para encontrar dois ataques, e os dois eu encontrei permitir Trudy para forjar E ( R + 1 , K ) , mas não E ( R , P T, K )PUMAE(RUMA+1,K)E(R+1,K)E(R,PT,K).


Veja a discussão sobre as tags de criptografia / segurança em meta
Ran G.

Respostas:


5

Este protocolo parece ser inseguro, devido ao fato de que Bob envia . Isto pode ser utilizado por Trudy para "gerar" encriptações de E ( R A + 1 , P T, K ) que vai ser usado mais tarde para completar o protocolo de autenticação.E(RUMA,K)E(RUMA+1,PT,K)

Especificamente, considere o seguinte ataque:

Picaretas Trudy aleatório e é executado o protocolo com Bob da seguinte forma: T B :R1

TB:"Eu sou Alice",R1+1,PTBT:E(R1+1,PT,K)

TB:"Eu sou Alice",R1BT:E(R1,K)TB:E(R1+1,PT,K)
K

E(1,RUMA)E(2,RUMA+1,P)

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.