Yahalom — симметричный протокол распределения ключей с доверенным сервером. Протокол Yahalom можно рассматривать как улучшенную версию протокола Wide-Mouth Frog . Данный протокол «перекладывает» генерацию нового сессионного ключа на сторону доверенного центра, а также использует случайные числа для защиты от атак повтором .

Описание

При симметричном шифровании , предполагается, что секретный ключ, который принадлежит клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В процессе сеанса протокола клиенты Алиса и Боб получают от сервера аутентификации Трента новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Реализация протокола :

${\textstyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$

${\textstyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$

${\textstyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}\left(A,K\right)\right\}\to Alice}$

${\textstyle (4)Alice\to \left\{E_{B}(A,K),E_{K}(R_{B})\right\}\to Bob}$

Первым сообщение Алиса инициирует сеанс, пересылая Бобу свой идентификатор ${\displaystyle A}$ и некоторое случайное число ${\displaystyle R_{A}}$ :

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$

Получив сообщение от Алисы, Боб объединяет идентификатор Алисы ${\displaystyle A}$ , случайное число Алисы ${\displaystyle R_{A}}$ и своё случайное число ${\displaystyle R_{B}}$ и шифрует созданное сообщение общим с Трентом ключом. После добавления к этому сообщению своего идентификатора ${\displaystyle B}$ Боб отправляет полученное сообщение Тренту:

${\displaystyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$

Трент расшифровывает сообщение сообщение Боба и создаёт два сообщения. Первое сообщение включает в себя идентификатор Боба ${\displaystyle B}$ , сгенерированный Трентом сессионный ключ ${\displaystyle K}$ , случайное число Алисы ${\displaystyle R_{A}}$ и случайное число Боба ${\displaystyle R_{B}}$ . Данное сообщение шифруется общим с Алисой ключом. Первое сообщение имеет вид:

${\displaystyle \left\{E_{A}(B,K,R_{A},R_{B})\right\}}$

Второе сообщение шифруется общим ключом для Трента и Боба и включает в себя идентификатор Алисы ${\displaystyle A}$ и сгенерированный Трентом сессионный ключ ${\displaystyle K}$ . Второе сообщение имеет вид:

${\displaystyle \left\{E_{B}(A,K)\right\}}$

Трент пересылает Алисе оба созданные сообщения:

${\displaystyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}\left(A,K\right)\right\}\to Alice}$

Алиса получает два сообщения от Трента и расшифровывает первое из них. Расшифровав сообщение, Алиса извлекает сессионный ключ ${\displaystyle K}$ и убеждается, что случайное число переданное Трентом ${\displaystyle R_{A}}$ совпадает со случайном числом переданным Бобу на первом этапе　. После этого Алиса отправляет два сообщения Бобу. Первое сообщение является полученное от Трента сообщением, зашифрованным общим ключом для Трента и Боба. Данное сообщение состоит из идентификатора Алисы ${\displaystyle A}$ и сессионного ключа ${\displaystyle K}$ :

${\displaystyle \left\{E_{B}(A,K)\right\}}$

Второе сообщение является зашифрованным с помощью сгенерированного Трентом сессионного ключа　случайное число Боба ${\displaystyle R_{B}}$ :

${\displaystyle \left\{E_{K}(R_{B})\right\}}$

Оба сообщения Алиса отправляет Бобу:

${\displaystyle (4)Alice\to \left\{E_{B}(A,K),E_{K}(R_{B})\right\}\to Bob}$

Боб расшифровывает первое сообщение и извлекает сессионный ключ ${\displaystyle K}$ . С помощью извлечённого сессионного ключа Боб расшифровывает второе сообщение и получает случайное число ${\displaystyle R_{B}}$ . Боб сверяет полученное от Алисы число со случайным числом отправленным на втором этапе.　После описанных действий стороны могут использовать новый сессионный ключ ${\displaystyle K}$ }.

Протокол Yahalom помимо генерации сессионного ключа обеспечивает аутентификацию сторон:

• Аутентификация Алисы перед Бобом происходит на четвёртом этапе ${\displaystyle (4)}$ , когда Боб может проверить возможность Алисы зашифровать известные только ей и Тренту случайное число ${\displaystyle R_{A}}$ на ключе ${\displaystyle K}$ .

• Аутентификация Боба перед Алисой происходи на третьем этапе ${\displaystyle (3)}$ , когда Трент показывает Алисе, что он получил случайное число ${\displaystyle R_{A}}$ именно от Боба (поскольку в сообщении присутствует идентификатор Боба ${\displaystyle B}$ ) .

В результате протокола Yahalom Алиса и Боб убеждены, что общаются друг с другом, а не с неизвестной третьей стороной. В отличие от протокола Wide-Mouth Frog стороны имеют возможность убедиться, что промежуточный сервер генерирует общий секретный ключ именно для них двоих, а не для какой-то третьей стороны (хотя от полной компрометации доверенной стороны этот протокол не защищает) .

Уязвимости протокола

Протокол Yahalom имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники.

• В рамках протокола Боб никак не продемонстрировал, что он успешно получил новый сессионный ключ ${\displaystyle K}$ и может им пользоваться. Сообщение от Алисы на четвёртом этапе ${\displaystyle (4)}$ могло быть перехвачено или изменено злоумышленниками. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

• На третьем этапе ${\displaystyle (3)}$ Трент не включает случайное число ${\displaystyle R_{B}}$ в сообщение ${\displaystyle \left\{E_{B}(A,K)\right\}}$ , что позволяет Алисе заставить Боба принять старый сессионный ключ . При этом протокол будет выглядеть следующем образом:

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$

${\displaystyle (2)Bob\to \left\{B,E_{B}(A,R_{A},R_{B})\right\}\to Trent}$

Трент генерирует новый сессионный ключ ${\displaystyle K}$

${\displaystyle (3)Trent\to \left\{E_{A}(B,K,R_{A},R_{B}),E_{B}(A,K)\right\}\to Alice}$

Алиса использует старый сессионный ключ ${\displaystyle K^{*}}$ и отправляет сообщение

${\displaystyle E_{B}(A,K^{*})}$ из старого сеанса протокола ${\displaystyle (4)Alice\to \left\{E_{B}(A,K^{*}),E_{K}(R_{B})\right\}\to Bob}$

Модификация протокола

В статье 1989 году Берроуз (англ. Michael Burrows), Абади (англ. Martin Abadi), Нидхэм (англ. Roger Needham) предложили свой вариант протокола Yahalom:

${\displaystyle (1)Alice\to \left\{A,R_{A}\right\}\to Bob}$

${\displaystyle (2)Bob\to \left\{B,R_{B},E_{B}(A,R_{A})\right\}\to Trent}$

${\displaystyle (3)Trent\to \left\{R_{B},E_{A}(B,K,R_{A}),E_{B}\left(A,K,R_{B}\right)\right\}\to Alice}$

${\displaystyle (4)Alice\to \left\{E_{B}(A,K,R_{B}),E_{K}(R_{B})\right\}\to Bob}$

В данном варианте протокола нет необходимости использовать несертифицированный ключ, поскольку своевременность последнего сообщения гарантируется случайным числом ${\displaystyle R_{B}}$ . Исчезает необходимость шифрования случайного числа Боба ${\displaystyle R_{B}}$ на втором этапе ${\displaystyle (2)}$ и в первом сообщении третьего этапа ${\displaystyle (3)}$ . В результате получается тот же результат, но с меньшим количеством шифрования .

Примечания

Литература

• Владимиров С.М. и др. (рус.) (6 сентября 2013).
• Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — Триумф, 2002. — 816 с. — ISBN 5-89392-055-4 .
• Lawrence. Relations Between Secrets: Two Formal Analyses of the Yahalom Protocol (англ.) // Journal of Computer Security. — Computer Laboratory, University of Cambridge, Pembroke Street, Cambridge CB2 3QG, UK., 2001. — Vol. 9 , iss. 1 July 2001 , no. 3 . — P. 197—216 . — doi : .
• M. Burrows, M. Abadi, R. Needham. (англ.) . — Digital Equipment Corp. Systems Research Center, 1989.