Briser un protocole d'authentification basé sur une clé symétrique pré-partagée

13

Considérez le protocole suivant, destiné à authentifier (Alice) à B (Bob) et vice versa.AB

AB:“I'm Alice”,RABA:E(RA,K)AB:E(RA+1,PA,K)
  • est un nonce aléatoire.R
  • est une clé symétrique pré-partagée.K
  • est une charge utile.P
  • des moyens m chiffrés avec K .E(m,K)mK
  • moyens m 1 assemblé avec m 2 d'une manière qui peut être décodé sans ambiguïté.m1,m2m1m2
  • Nous supposons que les algorithmes cryptographiques sont sécurisés et mis en œuvre correctement.

Un attaquant (Trudy) veut convaincre Bob d'accepter sa charge utile comme venant d'Alice (au lieu de P A ). Trudy peut-elle ainsi se faire passer pour Alice? Comment?PTPA

PAE(RA+1,K)E(R+1,K)E(R,PT,K).

Gilles 'SO- arrête d'être méchant'
la source
Voir la discussion sur les balises de cryptographie / sécurité dans la méta
Ran G.

Réponses:

5

E(RA,K)E(RA+1,PT,K)

En particulier, considérez l'attaque suivante:

Trudy choisit hasardR1

TB:“I'm Alice”,R1+1,PTBT:E(R1+1,PT,K)

TB:“I'm Alice”,R1BT:E(R1,K)TB:E(R1+1,PT,K)
K

E(1,RA)E(2,RA+1,P)

A sonné.
la source