Briser un protocole d'authentification basé sur une clé symétrique pré-partagée

Considérez le protocole suivant, destiné à authentifier (Alice) à (Bob) et vice versa. $A$ $B$

\begin{aligned} A \to B : & “I'm Alice”, R_{A} \\ B \to A : & E (R_{A}, K) \\ A \to B : & E (⟨ R_{A} + 1, P_{A} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

est un nonce aléatoire. $R$
est une clé symétrique pré-partagée. $K$
est une charge utile. $P$
des moyens chiffrés avec . $E(m, K)$ $m$ $K$
moyens assemblé avec d'une manière qui peut être décodé sans ambiguïté. $\langle m_1, m_2\rangle$ $m_1$ $m_2$
Nous supposons que les algorithmes cryptographiques sont sécurisés et mis en œuvre correctement.

Un attaquant (Trudy) veut convaincre Bob d'accepter sa charge utile comme venant d'Alice (au lieu de ). Trudy peut-elle ainsi se faire passer pour Alice? Comment? $P_T$ $P_A$

_{$P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ .}

cryptography protocols authentication Gilles 'SO- arrête d'être méchant'
la source

Voir la discussion sur les balises de cryptographie / sécurité dans la méta

Ran G.

Réponses:

$E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

En particulier, considérez l'attaque suivante:

Trudy choisit hasard $R_1$

\begin{aligned} T \to B : & “I'm Alice”, ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

\begin{aligned} T \to B : & “I'm Alice”, R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

A sonné.
la source