Considere o seguinte protocolo, destinado a autenticar (Alice) a (Bob) e vice-versa.
- é um nonce aleatório.
- é uma chave simétrica pré-compartilhada.
- é alguma carga útil.
- meios encriptado com .
- meios de m 1 montado com m 2 de uma forma que pode ser descodificado sem ambiguidade.
- Assumimos que os algoritmos criptográficos são seguros e implementados corretamente.
Um atacante (Trudy) quer convencer Bob aceitar sua carga como vindo de Alice (no lugar de P A ). Trudy pode assim personificar Alice? Quão?
Isso é ligeiramente modificado do exercício 9.6 em Segurança da informação: princípios e práticas de Mark Stamp . Na versão do livro, não há , a última mensagem é apenas E ( R A + 1 , K ) , e o requisito é que Trudy “convença Bob de que ela é Alice”. Mark Stamp nos pede para encontrar dois ataques, e os dois eu encontrei permitir Trudy para forjar E ( R + 1 , K ) , mas não E ( ⟨ R , P T ⟩ , K ).