Troca e authentication chaves cryptographic classical

Suponha o desejo de Alice e de Bob para comunicar-se. Se compartilharem de uma chave comum, podem usar um cryptosystem classical. Mas como concordam com uma chave comum? Se Alice emitir um a Bob, eve o eavesdropper vê-lo-á e podê-lo-á ler o tráfego entre eles.

Para evitar este problema amarrando, os protocolos classical confiam em um terceiro partido confiado, Cathy. Alice e Cathy compartilham de uma chave secreta (diferente) secreta da chave, e da parte a de Bob e de Cathy. O objetivo é fornecer uma chave secreta de que Alice e Bob compartilhem. O seguinte protocolo simples fornece um ponto começar.

Alice - > Cathy: {pedido para a chave da sessão ao}kAlice de Bob
Cathy - > Alice: {}kAlice do ksession || {}kBob do ksession
Alice - > Bob: {}kBob do ksession

Bob agora decifra a mensagem e usa o ksession comunicar-se com a Alice.

Este protocolo particular é a base para muitos mais protocolos sofisticados. Entretanto, Bob não sabe a quem está falando. Suponha que Alice emite a Bob uma mensagem (tal como o "depósito $500 no cliente de banco Dan hoje") enciphered sob o ksession. Se o eve gravar a segunda mensagem na troca acima, e a mensagem enciphered sob o ksession, pode emitir a Bob a mensagem {o}kBob do ksession seguiu pela mensagem enciphered sob o ksession. Bob não saberá quem a está emitindo.

Evitando problemas tais como isto replay o ataque adiciona a complexidade considerável. Os protocolos chaves da troca adicionam tipicamente, em um mínimo, alguma sorte do authentication e a defesa de encontro replay o ataque. Um do mais best-known tais protocolos é o protocolo de Needham-Schroeder.

Alice - > Cathy: {Alice || Bob || rand1}
Cathy - > Alice: {Alice || Bob || rand1 || ksession || {Alice || kAlice do kBob do ksession}}
Alice - > Bob: {Alice || kBob do ksession}
Bob - > Alice: ksession {rand2}
Alice - > Bob: {}ksession rand2 1

Neste protocolo, rand1 e rand2 são dois números gerados em aleatório, a não ser que aquele eles não possa repetir entre trocas diferentes do protocolo. Estes números são chamados nonces. (se Alice começar o protocolo anew, seu rand1 na primeira troca não terá sido usado lá antes.) A base para a segurança deste protocolo é que Alice e Bob confíam em Cathy.

Quando Bob recebe a terceira mensagem e a decifra, vê que a mensagem nomeia Alice. Desde que poderia decifrar a mensagem, a mensagem enciphered usando uma chave que compartilha somente com o Cathy. Porque confía em Cathy para não ter compartilhado do kBob chave com o qualquer um outro, a mensagem deve enciphered por Cathy. Isto significa que Cathy vouching que gerou o ksession assim que Bob poderia se comunicar com a Alice. Assim Bob confía em que Cathy emitiu a mensagem a Alice, e em que Alice lhea enviou.

Entretanto, se o eve gravasse a mensagem, poderia replayed a a Bob. que o caso, eve não saberia a chave da sessão, assim que Bob ajusta-se para fora para verificar que seu receptor desconhecido a sabe. Emite uma mensagem aleatória enciphered pelo ksession a Alice. Se o eve interceptar a mensagem, não saberá o que retornar; se emitir qualquer coisa, as probabilidades dela que seleciona aleatòria uma mensagem que esteja correta seja muito baixa e Bob detectarão tentado replay. Mas se Alice estiver iniciando certamente a comunicação, quando começa a mensagem pode decifrá-la (porque sabe o ksession), para aplicar alguma função fixa aos dados aleatórios (aqui, para a decrecer por 1), e para encipher o resultado e para o retornar a Bob. Então Bob será certo que está falando a Alice.

Alice necessita convencer-se também que está falando a Bob. Quando recebe a segunda mensagem de Cathy, decifra-o e certifica-se de que Alice, Bob, e rand1 estejam atuais. Isto diz-lhe que Cathy emitiu a segunda mensagem (porque enciphered com kAlice, que somente e Cathy sabem) e que era uma resposta à primeira mensagem (porque rand1 está nas primeiras e segundas mensagens). Obtem a chave da sessão e envía o descanso a Bob. Sabe que somente Bob tem o ksession, porque somente e Bob podem ler as mensagens que contêm essa chave. Assim quando recebe as mensagens enciphered com essa chave, será certa que está falando a Bob.

O protocolo de Needham-Schroeder supõe que todas as chaves cryptographic são seguras. Na prática, as chaves da sessão serão geradas pseudorandomly. Dependendo do algoritmo usado, pode ser possível predizer tais chaves. Denning e Sacco supuseram que o eve poderia obter uma chave da sessão e subverted o protocolo. Suponha que o protocolo acima ocorreu. Então:

Eve - > Bob: {Alice || kBob do ksession}
Bob - > Alice: ksession {rand3} [ interceptado por Eve ]
Eve - > Bob: {}ksession rand3 1

Agora Bob pensa que está falando a Alice. Está falando realmente ao eve.

Denning e Sacco sugerem usando timestamps permitir Bob de detectar este para replay. Aplicar seu método ao protocolo de Needham-Schroeder rende

Alice - > Cathy: {Alice || Bob || rand1}
Cathy - > Alice: {Alice || Bob || rand1 || ksession || {Alice || T || kAlice do kBob do ksession}}
Alice - > Bob: {Alice || T || kBob do ksession}
Bob - > Alice: ksession {rand2}
Alice - > Bob: {}ksession rand2 1

onde T é um timestamp. Quando Bob começa a mensagem em etapa 3, rejeita-a se o timestamp for demasiado velho (demasiado velho que está sendo determinado do sistema no uso). Esta modificação requer pulsos de disparo sincronizados. Denning e Sacco anotam que um principal com um pulso de disparo lento é vulnerável a um ataque do replay. Um partido com um pulso de disparo rápido é também vulnerável, e simplesmente restaurar o pulso de disparo não elimina o vulnerability.

O protocolo de Otway-Rees corrige estes problemas evitando o uso dos timestamps.

Alice - > Bob: numérico || Alice || Bob || {rand1 || numérico || Alice || }kAlice de Bob
Bob - > Cathy: numérico || Alice || Bob, || {rand1 || numérico || Alice || }kAlice de Bob || {rand2 || numérico || Alice || }kBob de Bob
Cathy - > Bob: numérico || {rand1 || }kAlice do ksession || {rand2 || kBob do ksession}
Bob - > Alice: numérico || {rand1 || }kAlice do ksession

A finalidade do inteiro numérico é associar todas as mensagens com uma troca particular. Outra vez, considere os elementos do protocolo.

Quando Alice recebe a quarta mensagem de Bob, certifica-se de que o numérico concorde com o numérico na primeira mensagem que emitiu a Bob. Se assim, sabe que esta é parte da troca. Confía também em que Cathy gerou a chave da sessão porque somente Cathy e Alice sabem o kAlice, e o número aleatório rand1 concorda com o que Alice pôs na parcela enciphered da mensagem. Combinando estes fatores, Alice é convencida agora que está falando a Bob.

Quando Bob recebe a mensagem de Cathy, determina que o numérico corresponde a esse que recebeu de Alice e emitido a Cathy. Decifra que parcela da mensagem enciphered com sua chave, e certifica-se de que rand2 seja o que emitiu. Sabe então que Cathy emitiu a resposta, e que se aplica à troca com Alice.

Porque nenhum timestamps é usado, a sincronização dos pulsos de disparo do sistema é irrelevant. Suponha agora que o eve adquiriu uma chave velha da sessão e a mensagem em 3.

Envía essa mensagem a Alice. De Alice rejeições imediatamente ele se não tiver nenhuma troca chave ongoing com Bob. Se , e numérico não combinar, rejeita a mensagem do eve. O único eve da maneira poderia impersonate Bob é se adquirisse o ksession para uma troca ongoing, gravasse a terceira mensagem, e resent a parcela relevante a Alice antes que Bob poderia fazer assim. que o caso, entretanto, eve poderia simplesmente escutar o tráfego, e os nenhuns replay seja involvido.

este é um artigo adicionado por Conta Kuriko