Разрушить протокол аутентификации на основе предварительного симметричного ключа

13

Рассмотрим следующий протокол, предназначенный для аутентификации (Алиса) в B (Боб) и наоборот.AB

AB:“I'm Alice”,RABA:E(RA,K)AB:E(RA+1,PA,K)
  • - случайный одноразовый номер.R
  • является предварительно общим симметричным ключом.K
  • - некоторая полезная нагрузка.п
  • означает м шифруется с K .Е(м,К)мK
  • средства м 1 в сборе с м 2 таким образомчто может быть декодирован однозначно.m1,m2m1m2
  • Мы предполагаем, что криптографические алгоритмы безопасны и реализованы правильно.

Злоумышленник (Труди) хочет убедить Боба принять ее полезную нагрузку как исходящую от Алисы (вместо P A ). Может ли Труди выдавать себя за Алису? Как?PTPA

Это немного модифицирован от физических упражнений 9.6 в области информационной безопасности: принципы и практика по оттиск штампа . В версии книги нет , последнее сообщение - просто E ( R A + 1 , K ) , и Труди требует, чтобы «убедить Боба, что она Алиса». Марк Стэмп просит нас найти две атаки, и две, которые я нашел, позволяют Труди подделать E ( R + 1 , K )PAE(RA+1,K)E(R+1,K)E(R,PT,К),

Жиль "ТАК - прекрати быть злым"
источник
См. Обсуждение тегов криптографии / безопасности в мета
Ran G.

Ответы:

5

Е(рA,К)Е(рA+1,пT,К)

В частности, рассмотрим следующую атаку:

р1

TВ:«Я Алиса»,р1+1,пTВT:Е(р1+1,пT,К)
, а затем Trudy порезы протокол в середине (так как она не знает , как ответить). Мы предполагаем, что и Труди, и Боб отменяются.

TВ:«Я Алиса»,р1ВT:Е(р1,К)TВ:Е(р1+1,пT,К)
К ? это просто! Боб фактически выполнил шифрование для нее в первую очередь.

Е(1,рA)Е(2,рA+1,п)

Ран Г.
источник