Разрушить протокол аутентификации на основе предварительного симметричного ключа

Рассмотрим следующий протокол, предназначенный для аутентификации (Алиса) в B (Боб) и наоборот.$A$$B$

$$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$$

• - случайный одноразовый номер.$R$
• является предварительно общим симметричным ключом.$K$
• - некоторая полезная нагрузка.$P$
• означает м шифруется с K .$E(m, K)$$m$$K$
• средства м 1 в сборе с м 2 таким образомчто может быть декодирован однозначно.$\langle m_1, m_2\rangle$$m_1$$m_2$
• Мы предполагаем, что криптографические алгоритмы безопасны и реализованы правильно.

Злоумышленник (Труди) хочет убедить Боба принять ее полезную нагрузку как исходящую от Алисы (вместо P A ). Может ли Труди выдавать себя за Алису? Как?$P_T$$P_A$

_{Это немного модифицирован от физических упражнений 9.6 в области информационной безопасности: принципы и практика по оттиск штампа . В версии книги нет , последнее сообщение - просто E ( R A + 1 , K ) , и Труди требует, чтобы «убедить Боба, что она Алиса». Марк Стэмп просит нас найти две атаки, и две, которые я нашел, позволяют Труди подделать E ( R + 1 , K $P_A$$E(R_A+1,K)$$E(R+1,K)$$E(\langle R, P_T\rangle, K)$,}

$E(R_A,K)$$E(\langle R_A+1,P_T\rangle , K)$

В частности, рассмотрим следующую атаку:

$R_1$

$$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$$ , а затем Trudy порезы протокол в середине (так как она не знает , как ответить). Мы предполагаем, что и Труди, и Боб отменяются.

$$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$$ $K$ ? это просто! Боб фактически выполнил шифрование для нее в первую очередь.

$E(\langle 1, R_A\rangle)$$E(\langle 2, R_A+1, P\rangle)$