Betrachten Sie das folgende Protokoll zur Authentifizierung von (Alice) gegenüber (Bob) und umgekehrt.
- ist eine zufällige Nonce.
- ist ein vorinstallierter symmetrischer Schlüssel.
- ist eine Nutzlast.
- bedeutet mit verschlüsseltes .
- bedeutet , das mit auf eine Weise zusammengesetzt ist, die eindeutig dekodiert werden kann.
- Wir gehen davon aus, dass die kryptografischen Algorithmen sicher und korrekt implementiert sind.
Ein Angreifer (Trudy) möchte Bob überzeugen, ihre Nutzlast als von Alice stammend (anstelle von ) zu akzeptieren . Kann Trudy sich also als Alice ausgeben? Wie?
Dies wurde im Vergleich zu Übung 9.6 in Informationssicherheit: Grundsätze und Vorgehen von Mark Stamp geringfügig geändert . In der Buchversion gibt es kein , die letzte Nachricht ist nur und Trudy muss „Bob davon überzeugen, dass sie Alice ist“. Mark Stamp bittet uns, zwei Angriffe zu finden, und die beiden, die ich gefunden habe, erlauben Trudy, aber nicht .
cryptography
protocols
authentication
Gilles 'SO - hör auf böse zu sein'
quelle
quelle
Antworten:
Dieses Protokoll scheint unsicher zu sein, da Bob sendet . Dies kann durch Trudy zu „erzeugen“ Verschlüsselungen verwendet wird , von E ( ⟨ R A + 1 , P T ⟩ , K ) , die später verwendet werden , um das Authentifizierungsprotokoll abzuschließen.E( REIN, K) E( ⟨ REIN+ 1 , PT⟩ , K)
Betrachten Sie insbesondere den folgenden Angriff:
Trudy wählt zufällig und führt das Protokoll mit Bob folgendermaßen aus: T → B :R1
und dann das Protokoll Trudy Schnitte in der Mitte (da sie nicht weißwie manAntwort). Wir gehen davon aus, dass sowohl Trudy als auch Bob abbrechen.
Nun startet Trudy eine weitere Instanz des Protokolls: Wie hat Trudy das Protokoll dieses Mal abschließenohnewissenK? es ist einfach! Bob hat die Verschlüsselung in erster Linie für sie durchgeführt.
quelle