事前共有対称キーに基づいて認証プロトコルを破る

（Alice）から（Bob）へ、またはその逆を認証ことを目的とした次のプロトコルを検討してください。 $A$ $B$

\begin{aligned} A \to B ： & 「私はアリスです」 、 R_{A} \\ B \to A ： & E （ R_{A} 、 K ） \\ A \to B ： & E （ ⟨ R_{A} + 1 、 P_{A} ⟩ 、 K ） \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

はランダムなナンスです。 $R$
は事前共有対称キーです。 $K$
はペイロードです。 $P$
は、が暗号化されていることを意味します。 $E(m, K)$ $m$ $K$
手段は、で組み立て明確に復号化することができるように。 $\langle m_1, m_2\rangle$ $m_1$ $m_2$
暗号化アルゴリズムは安全であり、正しく実装されていると想定しています。

攻撃者（Trudy）は、ボブに彼女のペイロードをアリスから（代わりに）受け入れるように説得したいと考えています。トルーディはアリスになりすますことができますか？どうやって？ $P_T$ $P_A$

_{これは、マークスタンプによる情報セキュリティ：原則と実践の演習9.6からわずかに変更されています。本版でははなく、最後のメッセージはであり、要件はTrudyが「AliceであることをBobに納得させる」ことです。マークスタンプは2回の攻撃を見つけるために私たちを尋ね、そして2つのIは、鍛造にトゥルーを許可したではなく $P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ 。}

cryptography protocols authentication

— ジル「SO-悪をやめろ」
ソース

で暗号/セキュリティタグについての説明を参照してくださいメタ

— 蘭G.

このプロトコルはボブが送るという事実のために安全でないようです。これは、の暗号化「生成」にトゥルーで使用することができる以降の認証プロトコルを完了するために使用されます。 $E(R_A,K)$ $E(\langle R_A+1,P_T\rangle , K)$

具体的には、次の攻撃を検討してください。

Trudyはランダムなを選択し、次の方法でBobとプロトコルを実行します： $R_1$ 、次いでトゥルーカット途中でプロトコル（彼女が応答する方法を知らないので）。TrudyとBobの両方が中断すると仮定します。

\begin{aligned} T \to B ： & 「私はアリスです」 、 ⟨ R_{1} + 1 、 P_{T} ⟩ \\ B \to T ： & E （ ⟨ R_{1} + 1 、 P_{T} ⟩ 、 K ） \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

Trudyは、プロトコルの別のインスタンス開始します

\begin{aligned} T \to B ： & 「私はアリスです」 、 R_{1} \\ B \to T ： & E （ R_{1} 、 K ） \\ T \to B ： & E （ ⟨ R_{1} + 1 、 P_{T} ⟩ 、 K ） \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— ランG.
ソース