Interested Article - Wide-Mouth Frog
- 2020-08-29
- 1
Wide-Mouth Frog (досл. с англ. «лягушка с широкой глоткой» ) — возможно, самый простой протокол для симметричного обмена ключами с использованием доверенного сервера. (Алиса) и (Боб) разделяют секретный ключ с (Трентом). В данном протоколе ключи используются только для их распределения, а не для шифрования сообщений .
История
Автором протокола считается ( англ. ), впервые он был опубликован в «Michael Burrows, Martin Abadi, and Roger Needham. A logic of authentication» в 1989 году. В 1997 ( англ. ) в своей работе «A Family of Attacks upon Authentication Protocols» предложил ( англ. ), исправляющий некоторые уязвимости.
Протокол Wide-Mouthed Frog
Для начала сеанса передачи сообщений Алиса шифрует конкатенацию метки времени, идентификатора Боба и сгенерированного случайного сеансового ключа. В качестве ключа шифрования используется ключ, который известен Алисе и Тренту — промежуточному доверенному серверу. После этого Алиса передаёт своё имя (в открытом виде) и зашифрованные данные Тренту.
Трент расшифровывает совместным с Алисой ключом пакет, выбирает оттуда сгенерированный Алисой случайный сеансовый ключ и составляет конкатенацию из новой метки времени, идентификатора Алисы и сеансового ключа, после чего шифрует её общим с Бобом ключом и передаёт ему.
После этого Боб расшифровывает пакет данных общим с Трентом ключом и может использовать сгенерированный Алисой случайный сеансовый ключ для передачи данных.
Атаки на протокол Wide-Mouthed Frog
Атака 1995 года
В 1995 году Росс Андерсон и Роджер Нидхем предложили следующий алгоритм атаки на протокол:
-
- ,
где I(Alice) и I(Bob) — злоумышленник имитирующий Алису и Боба соответственно.
Изъян протокола заключается в том, что Трент обновляет свою временную метку , от временной метки Алисы . То есть пока Трент не держит список всех рабочих ключей и меток, злоумышленник может поддерживать ключи рабочими, используя Трента в качестве предсказателя.
Практический результат данного недостатка будет зависеть от приложения. Например, если пользователи используют смарт-карту с данным протоколом, который в открытом виде отправляет сеансовый ключ в ( англ. ), то ключи могут быть открыты для данной атаки. Злоумышленник может наблюдать как Алиса и Боб проводят сеансы и поддерживать ключи рабочими, пока не появится возможность выкрасть смарт-карту .
Атака 1997 года
В 1997 году Гэвин Лоу предложил ещё один вариант атаки на данный протокол, основанный на том, что злоумышленник заставляет думать Боба, что Алиса установила два сеанса обмена, в то время как Алиса устанавливает один сеанс. Атака включает два чередующихся прохода протокола, которые мы назовём и , обозначим, например, второе сообщение сеанса \alpha как Тогда атака выглядит следующим образом:
-
- ,
где I(Trent) злоумышленник имитирующий Трента.
Сеанс представляет нормальный ход обмена ключами, когда Алиса устанавливает сеанс с Бобом, используя ключ . Тогда в сообщении , злоумышленник имитирует Трента, и повторяет сообщение ; после чего Боб считает, что Алиса пытается начать второй сеанс.
Кроме того, злоумышленник может воспроизвести для Трента сообщение , как сообщение следующего сеанса. Это приведёт к получению Бобом второго сообщение, с таким же результатом как и ранее.
Данную уязвимость исправляет ( англ. ) .
Модифицированный Wide-Mouthed Frog протокол
Данная модификация была предложена Гэвином Лоу, для устранения уязвимости для атаки 1997 года. Выглядит она следующим образом:
Эти изменения позволят избежать атак 1997 года: Боб будет генерировать два разных одноразовых номера, по одному для каждого сеанса, и ожидать в качестве ответа сообщение 4. В то же время Алиса будет возвращать только одно такое сообщение, и злоумышленник не сможет сгенерировать другого.
К сожалению, данная модификация убирает самую привлекательную черту протокола Wide-Mouthed Frog — простоту .
Особенности
- Требуется глобальный счётчик.
- Трент имеет доступ ко всем ключам.
- Значение сеансового ключа полностью определяется Алисой, то есть она должна быть достаточно компетентной для генерации хороших ключей.
- Может дублировать сообщения, во время действия временной метки.
- Алиса не знает существует ли Боб.
- Протокол динамичный, что обычно нежелательно, так как это требует большей функциональности от Трента. Например, Трент должен справляться с ситуацией, когда Боб недоступен.
Примечания
- .
- .
- ↑ .
- .
- .
Литература
- Брюс Шнайер. Протокол Wide-Mouth Frog // / Прикладная криптография. — 2002. — ISBN 5-89392-055-4 .
- M. Burrows, M. Abadi, R. Needham // Research Report 39, Digital Equipment Corp. Systems Research Center — Feb. 1989
- M. Burrows, M. Abadi, R. Needham // ACM Transactions on Computer Systems, — v. 8 — n. 1 — Feb. 1990 — pp. 18—36
- Gavin Lowe // Department of Mathematics and Computer Science, Technical Report 1997/5, University of Leicester Jan. 1997
- Ji Ma, Mehmet A. Orgun and Abdul Sattar // IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART B: CYBERNETICS, VOL. 39, NO. 4, AUGUST 2009
- Ross Anderson and Roger Needham // Cambridge University Computer Laboratory Pembroke Street, Cambridge, England CB2 3QG
- 2020-08-29
- 1