Протокол Ву — Лама — протокол аутентификации и обмена ключами. Как и в случае протокола DASS промежуточная сторона — Трент — поддерживает базу данных всех ключей.

Симметричный вариант протокола

Протокол был описан Томасом Ву и в 1992 году .

Алиса отправляет Бобу свой идентификатор:

${\displaystyle (1)\ Alice\to \{A\}\to Bob}$

Боб отправляет Алисе случайное число:

${\displaystyle (2)\ Bob\to \{R_{B}\}\to Alice}$

Алиса отправляет Бобу это число, зашифровав его на общем ключе её и Трента:

${\displaystyle (3)\ Alice\to \{E_{K_{A}}(R_{B})\}\to Bob}$

Боб отправляет Тренту сообщение, зашифрованное на его с Трентом ключе, в котором содержатся идентификатор Алисы и её сообщение, полученное Бобом на 3-м проходе:

${\displaystyle (4)\ Bob\to \{E_{K_{B}}(A,E_{K_{A}}(R_{B}))\}\to Trent}$

Трент расшифровывает сообщение ключом Алисы, зашифровывает ключом Боба и отправляет ему:

${\displaystyle (5)\ Trent\to \{E_{K_{B}}(R_{B})\}\to Bob}$

Асимметричный вариант протокола

Алиса отправляет Тренту сообщение со своим идентификатором и Боба:

${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

Трент отправляет Алисе открытый ключ Боба, подписав его своим закрытым ключом:

${\displaystyle Trent\to \left\{S_{T}\left(K_{B}\right)\right\}\to Alice}$

Алиса проверяет подпись, после чего отправляет Бобу свой идентификатор и некоторое случайное число, зашифровав их открытым ключом Боба

${\displaystyle Alice\to \left\{E_{K_{B}}\left(A,R_{A}\right)\right\}\to Bob}$

Боб отправляет Тренту свой идентификатор и идентификатор Алисы, а также случайное число Алисы, зашифрованное открытым ключом Трента:

${\displaystyle Bob\to \left\{A,B,E_{K_{T}}\left(R_{A}\right)\right\}\to Trent}$

Трент отправляет Бобу два сообщения. В первом содержится открытый ключ Алисы, подписанный ключом Трента. Во втором — случайное число Алисы, случайный сеансовый ключ и идентификаторы Боба и Алисы. Второе сообщение подписывается ключом Трента и шифруется открытым ключом Боба:

${\displaystyle Trent\to \left\{S_{T}\left(K_{A}\right),E_{K_{B}}\left(S_{T}\left(R_{A},K,A,B\right)\right)\right\}\to Bob}$

Боб проверяет подлинность сообщений с помощью открытого ключа Трента. После этого он посылает Алисе вторую часть сообщения от Трента (вместе с его подписью), дополнив его своим случайным числом и зашифровав открытым ключом Алисы:

${\displaystyle Bob\to \left\{E_{K_{A}}\left(S_{T}\left(R_{A},K,A,B\right),R_{B}\right)\right\}\to Alice}$

Алиса проверяет подпись Трента и совпадение своего случайного числа. После этого отсылает Бобу его случайное число, зашифровав его сеансовым ключом:

${\displaystyle Alice\to \left\{E_{K}\left(R_{B}\right)\right\}\to Bob}$

Боб расшифровывает число и убеждается, что оно не изменилось .

Протокол взаимной аутентификации и распределения ключей

Этот протокол, основанный на симметричной криптографии, был описан Ву и Ламом в 1994 году .

Алиса генерирует случайное число ${\displaystyle R_{A}}$ и отправляет Бобу свой идентификатор и это число:

${\displaystyle (1)\ Alice\to \{A,R_{A}\}\to Bob}$

Боб тоже генерирует случайное число ${\displaystyle R_{B}}$ и отправляет Алисе свой идентификатор и это число:

${\displaystyle (2)\ Bob\to \{B,R_{B}\}\to Alice}$

Алиса отправляет Бобу свой и его идентификаторы и случайные числа, зашифровав сообщение на общем ключе её и Трента:

${\displaystyle (3)\ Alice\to \{E_{K_{A}}(A,B,R_{A},R_{B})\}\to Bob}$

Боб отправляет Тренту два сообщения. Первое — это сообщение, полученное от Алисы. Второе — та же информация, что и в сообщении от Алисы (оба идентификатора и случайных числа), но зашифрованная на его с Трентом ключе:

${\displaystyle (4)\ Bob\to \{E_{K_{A}}(A,B,R_{A},R_{B}),E_{K_{B}}(A,B,R_{A},R_{B})\}\to Trent}$

Трент расшифровывает сообщения от Боба, узнаёт идентификаторы и случайные числа участников, после чего генерирует сессионный ключ ${\displaystyle K}$ и отправляет Бобу два сообщения. В первом сообщении содержатся идентификатор Боба, оба случайных числа и сессионный ключ, зашифрованные на ключе Алисы. Во втором сообщении содержатся идентификатор Алисы, оба случайных числа и сессионный ключ, зашифрованные на ключе Боба:

${\displaystyle (5)\ Trent\to \{E_{K_{A}}(B,R_{A},R_{B},K),E_{K_{B}}(A,R_{A},R_{B},K)\}\to Bob}$

Боб отправляет Алисе два сообщения. Первое — это первое сообщение, полученное на предыдущем проходе от Трента. Второе — оба случайных числа ( ${\displaystyle R_{A}}$ и ${\displaystyle R_{B}}$ ), зашифрованные на сессионном ключе:

${\displaystyle (6)\ Bob\to \{E_{K_{A}}(B,R_{A},R_{B},K),E_{K}(R_{A},R_{B})\}\to Alice}$

Алиса расшифровывает первое сообщение, получает ключ ${\displaystyle K}$ , расшифровывает второе сообщение и отправляет Бобу его случайное число:

${\displaystyle (7)\ Alice\to \{E_{K}(R_{B})\}\to Bob}$

Атаки на протокол

Атака на симметричный вариант протокола

На симметричный вариант протокола Ву-Лама существует атака с помощью параллельного сеанса, описанная Абади и Нидхемом .

Мэллори является пользователем системы и имеет общий ключ с Трентом. Также ей требуется блокировать все сообщения, посланные Алисе, то есть Мэллори должна быть активным криптоаналитиком.

Мэллори начинает два сеанса — один от имени Алисы и один от своего имени — и отправляет Бобу два сообщения:

${\displaystyle (1)\ Mallory\ (Alice)\to \{A\}\to Bob}$

${\displaystyle (1')\ Mallory\to \{M\}\to Bob}$

Боб думает, что с ним хотят связаться Алиса и Мэллори, и отправляет каждой своё случайное число:

${\displaystyle (2)\ Bob\to \{R_{B}\}\to Mallory\ (Alice)}$

${\displaystyle (2')\ Bob\to \{R_{B}'\}\to Mallory}$

Мэллори игнорирует своё случайное число и в обоих сеансах отправляет Бобу одно и то же сообщение — случайное число ${\displaystyle R_{B}}$ , предназначенное Алисе, зашифрованное на общем ключе Мэллори и Трента ${\displaystyle K_{M}}$ :

${\displaystyle (3)\ Mallory\ (Alice)\to \{E_{K_{M}}(R_{B})\}\to Bob}$

${\displaystyle (3')\ Mallory\to \{E_{K_{M}}(R_{B})\}\to Bob}$

Боб, следуя инструкциям протокола и не сравнивая сообщения между собой, пересылает их Тренту, добавив идентификаторы и зашифровав на их общем ключе ${\displaystyle K_{B}}$ :

${\displaystyle (4)\ Bob\to \{E_{K_{B}}(A,E_{K_{M}}(R_{B})\}\to Trent}$

${\displaystyle (4')\ Bob\to \{E_{K_{B}}(M,E_{K_{M}}(R_{B})\}\to Trent}$

Трент в каждом сеансе расшифровывает сообщение с помощью ключа того участника, идентификатор которого он получил. Так как в первом сеансе он получил идентификатор Алисы, а число ${\displaystyle R_{B}}$ было зашифровано на ключе Мэллори ${\displaystyle K_{M}}$ , при расшифровке получится другое число («мусор»).

${\displaystyle (5)\ Trent\to \{{\text{''Мусор''}}\}\to Bob}$

${\displaystyle (5')\ Trent\to \{E_{K_{B}}(R_{B})\}\to Bob}$

Боб видит в одном из последних сообщений случайное число ${\displaystyle R_{B}}$ , которое он посылал Алисе (как он думает), а в другом — мусор. Из-за этого Боб считает, что он установил связь с Алисой, хотя Алиса вообще не участвовала в обмене сообщениями.

Последовательность сеансов в данном случае не важна — атака будет развиваться точно также.

Абади и Нидхем предложили защиту от этой атаки: в сообщение 5-го прохода Трент должен включить идентификатор Алисы. В этом случае Боб при получении идентификатора Мэллори и случайного числа ${\displaystyle R_{B}}$ (которое он отправлял Алисе) отбросит такое сообщение, и атака сорвётся.

Атака на протокол взаимной аутентификации

На этот вариант протокола также существует атака с помощью параллельного сеанса .

Пусть Алиса инициировала запрос на установление связи с Мэллори. Тогда Мэллори может инициировать параллельный сеанс связи с Алисой, установить связь в первом сеансе, а второй отложить. После этого через некоторое время (даже после завершения первого сеанса) продолжить установление связи во втором сеансе и заставить Алису принять старый сессионный ключ (тот, что использовался в первом сеансе). Также ей требуется блокировать сообщение, посланные Трентом Алисе, то есть Мэллори должна быть активным криптоаналитиком.

Алиса начинает сеанс связи с Мэллори. Мэллори в ответ начинает сеанс связи с Алисой, отправляя ей то же случайное число, которое она получила:

${\displaystyle (1)\ Alice\to \{A,R_{A}\}\to Mallory}$

${\displaystyle (1')\ Mallory\to \{M,R_{A}\}\to Alice}$

После этого Мэллори дожидается, пока Алиса ответит на её сообщение из второго сеанса, достаёт из него случайное число и вставляет его в сообщение Алисе в первом сеансе.

${\displaystyle (2')\ Alice\to \{A,R_{A'}\}\to Mallory}$

${\displaystyle (2)\ Mallory\to \{M,R_{A'}\}\to Alice}$

После этого Алиса и Мэллори нормально завершают первый сеанс протокола:

${\displaystyle (3)\ Alice\to \{E_{K_{A}}(A,M,R_{A},R_{A'})\}\to Mallory}$

${\displaystyle (4)\ Mallory\to \{E_{K_{A}}(A,M,R_{A},R_{A'}),E_{K_{M}}(A,M,R_{A},R_{A'})\}\to Trent}$

${\displaystyle (5)\ Trent\to \{E_{K_{A}}(M,R_{A},R_{A'},K),E_{K_{M}}(A,R_{A},R_{A'},K)\}\to Mallory}$

${\displaystyle (6)\ Mallory\to \{E_{K_{A}}(M,R_{A},R_{A'},K),E_{K}(R_{A},R_{A'})\}\to Alice}$

${\displaystyle (7)\ Alice\to \{E_{K}{R_{A'}}\}\to Mallory}$

Через некоторое время Мэллори продолжает установление второго сеанса связи:

${\displaystyle (3')\ Mallory\to \{E_{K_{M}}(M,A,R_{A},R_{A'})\}\to Alice}$

Алиса отправляет серверу сообщение, которое Мэллори перехватывает и блокирует.

${\displaystyle (4')\ Alice\to \{E_{K_{M}}(M,A,R_{A},R_{A'}),E_{K_{A}}(M,A,R_{A},R_{A'})\}\to Mallory\ (Trent)}$

Мэллори от имени сервера посылает Алисе сообщение со старым сессионным ключом, просто поменяв местами части сообщения из 5-го прохода первого сеанса.

${\displaystyle (5')\ Mallory\ (Trent)\to \{E_{K_{M}}(A,R_{A},R_{A'},K),E_{K_{A}}(M,R_{A},R_{A'},K)\}\to Alice}$

После этого Алиса с Мэллори завершают установление соединения.

${\displaystyle (6')\ Alice\to \{E_{K_{M}}(A,R_{A},R_{A'},K),E_{K}(R_{A},R_{A'})\}\to Mallory}$

${\displaystyle (7')\ Mallory\to \{E_{K}(R_{A'})\}\to Alice}$

Примечания

Литература

• Шнайер Б. Глава 3. Основные протоколы. Протокол Ву-Лама // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М. : Триумф, 2002. — С. 85. — 816 с. — 3000 экз. — ISBN 5-89392-055-4 .
• M. Abadi, R. Needham. (англ.) // IEEE Transactions on Software Engineering. — 1996. — Vol. 22 , iss. 1 . — P. 6—15 . — doi : .
• Венбо Мао. / пер. с англ. Д. А. Клюшина.. — М. : Издательский дом "Вильямс", 2005. — С. —425. — ISBN 5-8459-0847-7 .
• T. Y. C. Woo, S. S. Lam. Authentication for Distributed Systems (англ.) // Computer. — Los Alamitos, CA, USA: IEEE Computer Society Press, 1992. — Vol. 25 , iss. 1 . — P. 39—52 . — ISSN . — doi : .
• T. Y. C. Woo, S. S. Lam. (англ.) // Computer. — Los Alamitos, CA, USA: IEEE Computer Society Press, 1992. — Vol. 25 , iss. 3 . — P. 10 . — ISSN . — doi : . 24 мая 2010 года.
• T. Y. C. Woo, S. S. Lam. (англ.) // Association for Computing Machinery. — New York, NY, USA, 1994. — Vol. 28 , no. 3 . — P. 24—37 . — ISSN . — doi : .
• J. Clark, J. Jacob. (англ.) // Citeseer. — 1997. — 17 November.