Unterbrechen Sie ein Authentifizierungsprotokoll, das auf einem vorinstallierten symmetrischen Schlüssel basiert

13

Betrachten Sie das folgende Protokoll zur Authentifizierung von (Alice) gegenüber (Bob) und umgekehrt.AB

AB:“I'm Alice”,REINBEIN:E(REIN,K)EINB:E(REIN+1,PEIN,K)
  • R ist eine zufällige Nonce.
  • K ist ein vorinstallierter symmetrischer Schlüssel.
  • P ist eine Nutzlast.
  • E(m,K) bedeutet mit verschlüsseltes .mK
  • m1,m2 bedeutet , das mit auf eine Weise zusammengesetzt ist, die eindeutig dekodiert werden kann.m1m2
  • Wir gehen davon aus, dass die kryptografischen Algorithmen sicher und korrekt implementiert sind.

Ein Angreifer (Trudy) möchte Bob überzeugen, ihre Nutzlast als von Alice stammend (anstelle von ) zu akzeptieren . Kann Trudy sich also als Alice ausgeben? Wie?PTPEIN

Dies wurde im Vergleich zu Übung 9.6 in Informationssicherheit: Grundsätze und Vorgehen von Mark Stamp geringfügig geändert . In der Buchversion gibt es kein , die letzte Nachricht ist nur und Trudy muss „Bob davon überzeugen, dass sie Alice ist“. Mark Stamp bittet uns, zwei Angriffe zu finden, und die beiden, die ich gefunden habe, erlauben Trudy, aber nicht . PEINE(REIN+1,K)E(R+1,K)E(R,PT,K)

Gilles 'SO - hör auf böse zu sein'
quelle
Siehe Diskussion über die Kryptographie / Sicherheits-Tags in Meta
Ran G.

Antworten:

5

Dieses Protokoll scheint unsicher zu sein, da Bob sendet . Dies kann durch Trudy zu „erzeugen“ Verschlüsselungen verwendet wird , von E ( R A + 1 , P T, K ) , die später verwendet werden , um das Authentifizierungsprotokoll abzuschließen.E(REIN,K)E(REIN+1,PT,K)

Betrachten Sie insbesondere den folgenden Angriff:

Trudy wählt zufällig und führt das Protokoll mit Bob folgendermaßen aus: T B :R1 und dann das Protokoll Trudy Schnitte in der Mitte (da sie nicht weißwie manAntwort). Wir gehen davon aus, dass sowohl Trudy als auch Bob abbrechen.

TB:"Ich bin Alice",R1+1,PTBT:E(R1+1,PT,K)

Nun startet Trudy eine weitere Instanz des Protokolls: Wie hat Trudy das Protokoll dieses Mal abschließenohnewissenK? es ist einfach! Bob hat die Verschlüsselung in erster Linie für sie durchgeführt.

TB:"Ich bin Alice",R1BT:E(R1,K)TB:E(R1+1,PT,K)
K

E(1,REIN)E(2,REIN+1,P)

Ran G.
quelle