Denning-Sacco jegyzőkönyv

A hitelesítésben és a kulcscsere protokollokban használt kriptográfiai jelölések

$A$	Alice ( Alice ), a foglalkozás kezdeményezőjének azonosítói
$B$	Bob ( Bob ) azonosítója, amely oldalról a munkamenet létrejön
$T$	Trent ( Trent ), egy megbízható közvetítő fél azonosítója
$K_{A},K_{B},K_{T}$	Alice, Bob és Trent nyilvános kulcsai
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Alice, Bob és Trent titkos kulcsai
$E_{A},\left\{...\right\}_{K_{A}}$	Adatok titkosítása Alice kulcsával vagy Alice és Trent közös kulcsával
$E_{B},\left\{...\right\}_{K_{B}}$	Adatok titkosítása Bob kulcsával vagy Bob és Trent közös kulcsával
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Adattitkosítás Alice, Bob titkos kulcsaival (digitális aláírás)
$én$	Munkamenet sorszáma (az ismétléses támadások elkerülése érdekében)
$K$	Véletlenszerű munkamenetkulcs a szimmetrikus adattitkosításhoz
$E_{K},\left\{...\right\}_{K}$	Adatok titkosítása ideiglenes munkamenet kulccsal
$T_{A}, T_{B}$	Alice és Bob időbélyegeket adott hozzá az üzenetekhez
$R_{A},R_{B}$	Véletlen számok ( nonce ), amelyeket Alice és Bob választott ki
$K_{A},K_{B},K_{T}$	Alice, Bob és Trent előre generált nyilvános és privát kulcspárjai
$K_{p}$	Véletlenszerű munkamenet nyilvános/privát kulcspár az aszimmetrikus titkosításhoz
$S_{A},S_{B},$ $S_{T},S_{K_{p))$	Adatok aláírása Alice, Bob, a közbenső fél privát kulcsával ( Trent ), vagy egy véletlenszerű pár privát kulcsával
$E_{K_{A)),E_{K_{B)),$ $E_{K_{T)),E_{K_{p))$	Aszimmetrikus adattitkosítás Alice, Bob, egy köztes fél nyilvános kulcsával ( Trent ), vagy egy véletlenszerű pár nyilvános kulcsával.

A Denning-Sacco protokoll [1] a szimmetrikus és aszimmetrikus megbízható fél kulcselosztási protokolljainak általános neve.

Történelem

1981-ben a Purdue Egyetem alkalmazottai, Dorothy E. Denning és Giovanni Maria Sacco támadást nyújtottak be a Needham-Schroeder protokoll ellen , és javaslatot tettek a protokoll saját módosítására az időcímkék használatán [2] .

Szimmetrikus kulcs Denning-Sacco protokoll

A szimmetrikus titkosításnál feltételezzük, hogy a klienshez tartozó titkos kulcsot csak ő és egy harmadik megbízható fél – a hitelesítési szerver – ismeri. A protokoll végrehajtása során a kliensek (Alice, Bob) új titkos munkamenet-kulcsot kapnak a hitelesítési szervertől (Trent) az aktuális kommunikációs munkamenetben a kölcsönös üzenetek titkosításához. Tekintsük a Denning-Sacco protokoll szimmetrikus kulccsal való megvalósítását [3] :

$Alice\balra\{A,B\jobbra\}\Trentbe$
$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\jobbra\}_{K_{B}}\jobbra\}_{K_{ A}}\alice$
$Alice\balra\{A,K,T_{T}\jobbra\}_{K_{B}}\Bobra$

Leírás

Az Alice-től Trentnek küldött első üzenet tartalmazza a közelgő csere résztvevőinek - Alice és Bob - azonosítóit. Ezt az üzenetet tiszta szöveggel küldjük:

$Alice\balra\{A,B\jobbra\}\Trentbe$

Trent létrehoz egy munkamenetkulcsot , és titkosított üzenetet küld Alice-nek, amely tartalmazza Bob azonosítóját, munkamenetkulcsát, időbélyegzőjét és egy csomagot , amely Alice tanúsítványaként működik: $K$ $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\jobbra\}_{K_{B}}\jobbra\}_{K_{ A}}\alice$

Alice ezután visszafejti Trent üzenetét, és elküldi a tanúsítványát Bobnak : $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Alice\balra\{A,K,T_{T}\jobbra\}_{K_{B}}\Bobra$

A protokoll végén Alice és Bob megosztott munkamenetkulccsal rendelkezik . $K$

Alice és Bob az időbélyegek ellenőrzésével ellenőrizheti, hogy a kapott üzenetek érvényesek . $T_{T}$

Protokolltámadás

1997-ben Gavin Lowe támadást indított a protokoll ellen [4] :

Alice és Bob befejezi a protokoll-munkamenetet, aminek eredményeként a munkamenet kulcsa létrejön a felek számára : $K$

egy.

Alice\balra\{A,B\jobbra\}\Trentbe

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\jobbra\}_{K_{B}}\jobbra\}_{K_{ A}}\alice

Alice\balra\{A,K,T_{T}\jobbra\}_{K_{B}}\Bobra

A támadó ezután megismétli Alice utolsó üzenetét:

négy.

Attacker\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

A támadó tettei miatt Bob úgy dönt, hogy Alice új kapcsolatot akar kialakítani vele.

Protokoll módosítás

Ugyanebben a munkában Low egy protokollmódosítást javasolt, amely biztosítja Alice hitelesítését Bob számára [4] :

Először Alice és Bob megismétli a teljes protokoll munkamenetet:

egy.

Alice\balra\{A,B\jobbra\}\Trentbe

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\jobbra\}_{K_{B}}\jobbra\}_{K_{ A}}\alice

Alice\balra\{A,K,T_{T}\jobbra\}_{K_{B}}\Bobra

Ezután Bob generál egy véletlen számot, titkosítja a munkamenet kulccsal , és elküldi Alice-nek: $K$

négy.

Bob\balra\{R_{B}\jobbra\}_{K}\Alice-nek

Alice visszafejti Bob üzenetét, 1-et ad hozzá, az eredményt titkosítja a munkamenet kulccsal , és elküldi Bobnak: $R_{B}$ $K$

Alice\balra\{R_{B}+1\jobbra\}_{K}\Bobra

Miután Bob visszafejtette Alice üzenetét, ellenőrizheti, hogy Alice birtokolja-e a munkamenet kulcsát .

K

A protokoll keretein belül Bob semmilyen módon nem erősíti meg az új munkamenetkulcs kézhezvételét és a vele való működés képességét. Alice üzenetét az 5. passznál egy támadó elkaphatta vagy módosította. De Alice már nem vár semmilyen választ Bobtól, és biztos abban, hogy a protokoll sikeresen befejeződött. $K$

Denning-Sacco nyilvános kulcsú protokoll

A Denning-Sacco protokoll aszimmetrikus változata . A hitelesítési szerver birtokolja az összes kliens nyilvános kulcsát. Fontolja meg a Denning-Sacco protokoll nyilvános kulccsal való megvalósítását [5] :

$Alice\balra\{A,B\jobbra\}\Trentbe$
$Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \jobbra)\jobbra\}\Alice$
$Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\jobbra),S_{T}\left(B,K_{B},T_{T}\jobbra)\jobbra\}\Bobba$

Leírás

Az Alice-től Trentnek küldött első üzenet tartalmazza a közelgő csere résztvevőinek - Alice és Bob - azonosítóit. Ezt az üzenetet tiszta szöveggel küldjük:

Alice\balra\{A,B\jobbra\}\Trentbe

Válaszul Trent elküldi Alice-nek Alice és Bob aláírt nyilvános kulcsú tanúsítványait. Ezenkívül minden tanúsítványhoz időbélyegeket adnak:

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \jobbra)\jobbra\}\Alice

Alice létrehoz egy új munkamenetkulcsot , és elküldi Bobnak egy időbélyeggel együtt , aláírja a kulcsával, és titkosítja Bob nyilvános kulcsával, valamint mindkét Trenttől kapott üzenetet: $K$ $T_{A}$

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\jobbra),S_{T}\left(B,K_{B},T_{T}\jobbra)\jobbra\}\Bobba

Bob ellenőrzi a hitelesítésszolgáltató aláírását a tanúsítványon , visszafejti a munkamenet kulcsát , és ellenőrzi Alice aláírását. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Protokolltámadás

Abadi és Needham leírtak egy protokoll elleni támadást [6] , amelyben Bob, miután üzenetet kapott Alice-től, megszemélyesítheti őt egy másik felhasználóval folytatott munkamenet során. Bob azonosítójának hiánya az Alice-től kapott üzenetben azt a tényt eredményezi, hogy Bob felhasználhatja az Alice-től kapott adatokat, hogy megszemélyesítse Alice-t egy új munkamenetben egy harmadik féllel (Clara). $E_{K_{B}}\left(S_{A}\left(K,T_{A}\right)\right)$

Először Alice és Bob egy szabványos protokoll-munkamenetet folytat le egy új szekciókulcs generálásával : $K$

egy.

Alice\balra\{A,B\jobbra\}\Trentbe

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \jobbra)\jobbra\}\Alice

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\jobbra),S_{T}\left(B,K_{B},T_{T}\jobbra)\jobbra\}\Bobba

Bob ezután új munkamenetet kezdeményez Clarával, és követi a protokollt:

négy.

Bob\to \left\{B,C\right\}\to Trent

Trent\to \left\{S_{T}\left(B,K_{B},T_{T}\right),S_{T}\left(C,K_{C},T_{T} \jobbra)\jobbra\}\Bobnak

A protokoll utolsó lépésében Bob lejátssza az Alice- től kapott üzeneteket a Clarával folytatott munkamenet során : $S_{A}\left(K,T_{A}\right)$ $S_{T}\left(A,K_{A},T_{T}\right)$

Bob\to \left\{E_{C}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\jobbra),S_{T}\left(C,K_{C},T_{T}\jobbra)\jobbra\}\Klára

Clara sikeresen ellenőrzi a hitelesítésszolgáltató aláírását a tanúsítványon , dekódolja a munkamenet kulcsát , és ellenőrzi Alice aláírását. Ennek eredményeként Clara biztos abban, hogy kommunikációs munkamenetet hozott létre Alice-szel, mivel a protokoll minden szükséges lépése helyesen történt, és minden üzenet helyes volt. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Jegyzetek

↑ Davydov A. N. A kulcsfontosságú létrehozási protokollok elleni támadások // Az információs technológiák biztonsága: A tudományos és műszaki konferencia anyaga / szerk. Volchikhina V. I., Zefirova S. L. - Penza: Publishing House of the Penza Research Electrotechnical Institute, 2004. - December ( 5. köt. ). - S. 99-104 . Archiválva az eredetiből: 2019. augusztus 19. (Orosz)
↑ Denning, Sacco, 1981 .
↑ Mao, 2005 , p. 79.
↑ 1 2 Lowe, 1997 , The Denning-Sacco megosztott kulcsú protokoll, pp. 4-5.
↑ Mao, 2005 , p. 429.
↑ Abadi, Needham, 1996 .

Irodalom

Dorothy E. Denning, Giovanni Maria Sacco. Időbélyegek a kulcselosztási protokollokban // Commun . ACM. - New York, NY, USA: ACM, 1981. - Vol. 24 , iss. 1981. augusztus , 1. sz. 8 . - P. 533-536 . — ISSN 0001-0782 . - doi : 10.1145/358722.358740 .
Gavin Lowe. A hitelesítési protokollok elleni támadások családja . - Matematika és Számítástechnika Tanszék, 1997.
M. Abadi, R. Needham. Prudent Engineering Practice for Cryptographic Protocols // IEEE Transactions on Software Engineering. - 1996. - január ( 22. évf. , 1. sz.).
Schneier B. Alkalmazott kriptográfia. Protokollok, algoritmusok, forráskód C nyelven = Applied Cryptography. Protokollok, algoritmusok és forráskód in C. - M .: Triumph, 2002. - 816 p. - 3000 példányban. - ISBN 5-89392-055-4 .
Wenbo Mao. Modern kriptográfia: elmélet és gyakorlat = Modern Cryptography: Theory and Practice. - Williams Publishing House, 2005. - ISBN 5-8459-0847-7 .

Hitelesítési és kulcscsere protokollok
Szimmetrikus algoritmusokkal	Széles szájú béka Yahalom Needham-Schroeder protokoll Otway-Risa protokoll Kerberos Newman-Stubblebine protokoll
Szimmetrikus és aszimmetrikus algoritmusokkal	DASS Denning-Sacco jegyzőkönyv Wu Lam protokoll SPKM
Az interneten használt protokollok és szolgáltatások	OAuth Nyissa meg az azonosítót Windows Live ID