ทำลายโปรโตคอลการตรวจสอบความถูกต้องโดยใช้คีย์ symmetric ที่แบ่งปันล่วงหน้า

พิจารณาโปรโตคอลต่อไปนี้ซึ่งหมายถึงการรับรองความถูกต้อง (Alice) ถึง (Bob) และในทางกลับกัน $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

$R$ คือ nonce สุ่ม
$K$ เป็นคีย์สมมาตรที่แชร์ล่วงหน้า
$P$ คือส่วนของข้อมูล
$E(m, K)$ หมายถึงเข้ารหัสด้วยK $m$ $K$
$\langle m_1, m_2\rangle$ หมายถึงประกอบกับในลักษณะที่สามารถถอดรหัสได้อย่างไม่น่าสงสัย $m_1$ $m_2$
เราคิดว่าอัลกอริทึมการเข้ารหัสลับมีความปลอดภัยและดำเนินการอย่างถูกต้อง

ผู้โจมตี (Trudy) ต้องการโน้มน้าวให้ Bob ยอมรับน้ำหนักบรรทุกของเธอว่ามาจาก Alice (แทน ) ทรูดี้ปลอมตัวเป็นอลิซได้หรือไม่? อย่างไร? $P_T$ $P_A$

_{นี้มีการปรับเปลี่ยนเล็กน้อยจากการใช้สิทธิ 9.6 ในการรักษาความปลอดภัยข้อมูล: หลักการและการปฏิบัติโดยมาร์คแสตมป์ ในเวอร์ชันหนังสือไม่มีข้อความสุดท้ายคือและข้อกำหนดสำหรับ Trudy คือ“ โน้มน้าวให้บ๊อบว่าเธอคืออลิซ” มาร์คแสตมป์ขอให้เราได้พบกับสองโจมตีและทั้งสองผมพบว่าช่วยให้ทรูดี้จะเคลื่อนแต่ไม่K)
$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$}

cryptography protocols authentication

— Gilles 'หยุดความชั่วร้าย'
แหล่งที่มา

ดูการสนทนาเกี่ยวกับการเข้ารหัส / แท็กความปลอดภัยในmeta

— Ran G.

โปรโตคอลนี้ดูเหมือนว่าจะไม่ปลอดภัยเนื่องจากความจริงที่ว่าบ๊อบส่งK) สิ่งนี้สามารถถูกใช้โดย Trudy เพื่อ "สร้าง" การเข้ารหัสของซึ่งจะใช้ในภายหลังเพื่อทำโพรโทคอลการรับรองความถูกต้องให้เสร็จสมบูรณ์ $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

พิจารณาการโจมตีดังต่อไปนี้โดยเฉพาะ:

ทรูดี้เลือกสุ่มและรันโปรโตคอลกับ Bob ในลักษณะดังต่อไปนี้: จากนั้น Trudy จะตัดโปรโตคอลตรงกลาง (ตั้งแต่เธอ ไม่รู้วิธีตอบ) เราถือว่าทรูดี้และบ๊อบยกเลิก $R_1$

\begin{aligned} T \to B : & “I'm Alice”, ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

ทรูดี้เริ่มต้นอินสแตนซ์อื่นของโพรโทคอล: อย่างไรทรูดี้เสร็จสมบูรณ์โปรโตคอลในครั้งนี้โดยไม่ทราบว่า ? มันเป็นเรื่องง่าย! บ๊อบทำการเข้ารหัสสำหรับเธอในครั้งแรก

\begin{aligned} T \to B : & “I'm Alice”, R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

บทเรียนที่เรียนรู้: ในโปรโตคอลการเข้ารหัสมันเป็นการดีสำหรับแต่ละข้อความหรือส่วนที่แยกกันไม่ออกเพื่อให้มีแท็กที่ไม่ซ้ำกันซึ่งป้องกันการใช้ซ้ำเป็นข้อความอื่น ๆ ในโปรโตคอล หากคำตอบของ Bob คือและข้อความที่สามคือการโจมตีนี้จะไม่ทำงาน $E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— รันจี
แหล่งที่มา