Intercambio y autentificación dominantes criptográficos clásicos

Suponga el deseo de Alicia y de Bob para comunicarse. Si comparten una llave común, pueden utilizar un cryptosystem clásico. ¿Pero cómo convienen en una llave común? Si Alicia envía uno a Bob, víspera el eavesdropper lo considerará y podrá leer el tráfico entre ellos.

Para evitar este problema que ata con correa, los protocolos clásicos confían en terceros confiados en, Cathy. Alicia y Cathy comparten una diversa) llave secreta secreta de la llave, y de la parte a de Bob y de Cathy (. La meta es proporcionar una llave secreta que Alicia y Bob compartan. El protocolo simple siguiente proporciona un punto de partida.

Alicia - > Cathy: {pedido la llave de la sesión al}kAlice de Bob
Cathy - > Alicia: {}kAlice del ksession || {}kBob del ksession
Alicia - > Bob: {}kBob del ksession

Bob ahora descifra el mensaje y utiliza el ksession para comunicarse con Alicia.

Este protocolo particular es la base para muchos más protocolos sofisticados. Sin embargo, Bob no sabe a quién él está hablando. Asuma que Alicia envía Bob un mensaje (tal como "depósito $500 en la cuenta bancaria Dan hoy") codificado debajo del ksession. Si la víspera registra el segundo mensaje en el intercambio arriba, y el mensaje codificado debajo del ksession, ella puede enviar Bob el mensaje {el}kBob del ksession siguió por el mensaje codificado debajo del ksession. Bob no sabrá quién la está enviando.

Evitando problemas tales como esto juegue de nuevo el ataque agrega complejidad considerable. Los protocolos dominantes del intercambio agregan típicamente, en un mínimo, una cierta clase de autentificación y la defensa contra juega de nuevo ataque. Uno del más conocida tales protocolos es el protocolo de Needham-Schroeder.

Alicia - > Cathy: {Alicia || Bob || rand1}
Cathy - > Alicia: {Alicia || Bob || rand1 || ksession || {Alicia || kAlice del kBob del ksession}}
Alicia - > Bob: {Alicia || kBob del ksession}
Bob - > Alicia: ksession {rand2}
Alicia - > Bob: {}ksession rand2 1

En este protocolo, rand1 y rand2 son dos números generados al azar, a menos que ése ellos no pueda repetir entre diversos intercambios del protocolo. Estos números se llaman los nonces. (si Alicia comienza el protocolo de nuevo, su rand1 en el primer intercambio no habrá sido utilizado allí antes.) La base para la seguridad de este protocolo es que Alicia y Bob confían en Cathy.

Cuando Bob recibe el tercer mensaje y lo descifra, él ve que el mensaje nombra a Alicia. Puesto que él podría descifrar el mensaje, el mensaje fue codificado usando una llave que él comparte solamente con Cathy. Porque él confía en Cathy para no haber compartido el kBob dominante con cualquier persona otro, el mensaje se debe haber codificado por Cathy. Esto significa que Cathy está atestiguando que ella generó el ksession así que Bob podría comunicarse con Alicia. Bob confía en tan que Cathy envió el mensaje a Alicia, y que Alicia le transmitió él.

Sin embargo, si la víspera registró el mensaje, ella habría podido jugarlo de nuevo a Bob. En que el caso, víspera no habría sabido la llave de la sesión, así que Bob precisan para verificar que su recipiente desconocido la sabe. Él envía un mensaje al azar codificado por el ksession a Alicia. Si la víspera intercepta el mensaje, ella no sabrá qué volver; si ella envía cualquier cosa, las probabilidades de ella que selecciona aleatoriamente a un mensaje que esté correcto sea muy bajo y a Bob detectarán procurado para jugar de nuevo. Pero si Alicia está iniciando de hecho la comunicación, cuando ella consigue el mensaje ella puede descifrarlo (porque ella sabe el ksession), aplicar una cierta función fija a los datos al azar (aquí, decrement la por 1), y codificar el resultado y volverlo a Bob. Entonces Bob será seguro que él está hablando con Alicia.

Alicia necesita convencerse de que ella esté hablando con Bob, también. Cuando ella recibe el segundo mensaje de Cathy, ella lo descifra y comprueba que Alicia, Bob, y rand1 están presentes. Esto le dice que Cathy enviara el segundo mensaje (porque fue codificado con el kAlice, que solamente ella y Cathy saben) y que era una respuesta al primer mensaje (porque rand1 está en los primeros y segundos mensajes). Ella obtiene la llave de la sesión y transmite al resto Bob. Ella sabe que solamente Bob tiene ksession, porque solamente ella y Bob pueden leer los mensajes que contienen esa llave. Tan cuando ella recibe los mensajes codificados con esa llave, ella será segura que ella está hablando con Bob.

El protocolo de Needham-Schroeder asume que todas las llaves criptográficas son seguras. En la práctica, las llaves de la sesión serán generadas pseudorandomly. Dependiendo del algoritmo usado, puede ser posible predecir tales llaves. Denning y Sacco asumieron que la víspera podría obtener una llave de la sesión y derribaron el protocolo. Asuma que ocurrió el protocolo arriba. Entonces:

Víspera - > Bob: {Alicia || kBob del ksession}
Bob - > Alicia: ksession {rand3} [ interceptado por Eve ]
Víspera - > Bob: {}ksession rand3 1

Ahora Bob piensa que él está hablando con Alicia. Él realmente está hablando con la víspera.

Denning y Sacco sugieren con timestamps para permitir a Bob detectar esto para jugar de nuevo. La aplicación de su método al protocolo de Needham-Schroeder rinde

Alicia - > Cathy: {Alicia || Bob || rand1}
Cathy - > Alicia: {Alicia || Bob || rand1 || ksession || {Alicia || T || kAlice del kBob del ksession}}
Alicia - > Bob: {Alicia || T || kBob del ksession}
Bob - > Alicia: ksession {rand2}
Alicia - > Bob: {}ksession rand2 1

donde está un timestamp T. Cuando Bob consigue el mensaje en el paso 3, él lo rechaza si el timestamp es demasiado viejo (demasiado viejo que es determinado del sistema en uso). Esta modificación requiere los relojes sincronizados. Denning y Sacco observan que un principal con un reloj lento es vulnerable a un ataque del jugar de nuevo. Un partido con un reloj rápido es también vulnerable, y simplemente el reajuste del reloj no elimina la vulnerabilidad.

El protocolo de Otway-Rees corrige estos problemas evitando el uso de timestamps.

Alicia - > Bob: numérico || Alicia || Bob || {rand1 || numérico || Alicia || }kAlice de Bob
Bob - > Cathy: numérico || Alicia || Bob, || {rand1 || numérico || Alicia || }kAlice de Bob || {rand2 || numérico || Alicia || }kBob de Bob
Cathy - > Bob: numérico || {rand1 || }kAlice del ksession || {rand2 || kBob del ksession}
Bob - > Alicia: numérico || {rand1 || }kAlice del ksession

El propósito del número entero numérico es asociar todos los mensajes a un intercambio particular. Una vez más considere los elementos del protocolo.

Cuando Alicia recibe el cuarto mensaje de Bob, ella comprueba que el numérico convenga con el numérico en el primer mensaje que ella envió a Bob. Si es así ella sabe que éste es parte del intercambio. Ella también confía en que Cathy generó la llave de la sesión porque solamente Cathy y Alicia saben kAlice, y el número al azar rand1 conviene con lo que puso Alicia en la porción codificada del mensaje. Combinando estos factores, ahora convencen Alicia de que ella está hablando con Bob.

Cuando Bob recibe el mensaje de Cathy, él se determina que el numérico corresponde a el que él recibió de Alicia y enviado a Cathy. Él descifra que porción del mensaje codificado con su llave, y comprueba que rand2 es lo que él envió. Él entonces sabe que Cathy envió la contestación, y que se aplica al intercambio con Alicia.

Porque no se utiliza ningunos timestamps, la sincronización de los relojes del sistema es inaplicable. Ahora suponga que la víspera adquirió una vieja llave de la sesión y el mensaje en 3.

Ella transmite a ese mensaje Alicia. De Alicia rechazos inmediatamente él si ella no tiene ningún intercambio dominante en curso con Bob. Si ella , y numérico no empareja, ella rechaza el mensaje de la víspera. La única víspera de la manera podría personificar a Bob es si ella adquirió el ksession para un intercambio en curso, registró el tercer mensaje, y volvió a enviar la porción relevante a Alicia antes de que Bob podría hacer tan. En que el caso, sin embargo, víspera podría escuchar simplemente el tráfico, y ningunos juegan de nuevo esté implicado.

esto es un artículo agregado por Bill Kuriko