Разрушить протокол аутентификации на основе предварительного симметричного ключа

Рассмотрим следующий протокол, предназначенный для аутентификации (Алиса) в (Боб) и наоборот. $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

- случайный одноразовый номер. $R$
является предварительно общим симметричным ключом. $K$
- некоторая полезная нагрузка. $P$
означает шифруется с . $E(m, K)$ $m$ $K$
средства в сборе с таким образомчто может быть декодирован однозначно. $\langle m_1, m_2\rangle$ $m_1$ $m_2$
Мы предполагаем, что криптографические алгоритмы безопасны и реализованы правильно.

Злоумышленник (Труди) хочет убедить Боба принять ее полезную нагрузку как исходящую от Алисы (вместо ). Может ли Труди выдавать себя за Алису? Как? $P_T$ $P_A$

_{Это немного модифицирован от физических упражнений 9.6 в области информационной безопасности: принципы и практика по оттиск штампа . В версии книги нет , последнее сообщение - просто , и Труди требует, чтобы «убедить Боба, что она Алиса». Марк Стэмп просит нас найти две атаки, и две, которые я нашел, позволяют Труди подделать $P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ ,}

cryptography protocols authentication

— Жиль "ТАК - прекрати быть злым"
источник

См. Обсуждение тегов криптографии / безопасности в мета

— Ran G.

$E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

В частности, рассмотрим следующую атаку:

$R_1$

\begin{aligned} T \to В : & «Я Алиса», ⟨ р_{1} + 1, п_{T} ⟩ \\ В \to T : & Е (⟨ р_{1} + 1, п_{T} ⟩, К) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$ , а затем Trudy порезы протокол в середине (так как она не знает , как ответить). Мы предполагаем, что и Труди, и Боб отменяются.

\begin{aligned} T \to В : & «Я Алиса», р_{1} \\ В \to T : & Е (р_{1}, К) \\ T \to В : & Е (⟨ р_{1} + 1, п_{T} ⟩, К) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$ ? это просто! Боб фактически выполнил шифрование для нее в первую очередь.

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ран Г.
источник