Hancurkan protokol otentikasi berdasarkan kunci simetris yang dibagikan sebelumnya

13

Pertimbangkan protokol berikut, yang dimaksudkan untuk mengotentikasi (Alice) ke B (Bob) dan sebaliknya.SEBUAHB

SEBUAHB:"Aku Alice",RSEBUAHBSEBUAH:E(RSEBUAH,K)SEBUAHB:E(RSEBUAH+1,PSEBUAH,K)
  • adalah bilangan acak.R
  • adalah kunci simetris yang dibagikan sebelumnya.K
  • adalah muatan.P
  • berarti m dienkripsi dengan K .E(m,K)mK
  • cara m 1 dirakit dengan m 2 dengan cara yang dapat diterjemahkan jelas.m1,m2m1m2
  • Kami berasumsi bahwa algoritma kriptografi aman dan diimplementasikan dengan benar.

Seorang penyerang (Trudy) ingin meyakinkan Bob untuk menerima payload-nya berasal dari Alice (sebagai pengganti P A ). Bisakah Trudy menyamar sebagai Alice? Bagaimana?PTPSEBUAH

Ini sedikit dimodifikasi dari latihan 9.6 di Keamanan Informasi: Prinsip dan Praktek oleh Mark Stamp . Dalam versi buku, tidak ada , pesan terakhir hanya E ( R A + 1 , K ) , dan persyaratannya adalah bagi Trudy untuk “meyakinkan Bob bahwa dia adalah Alice”. Mark Stamp meminta kita untuk menemukan dua serangan, dan dua saya menemukan memungkinkan Trudy untuk menempa E ( R + 1 , K ) tetapi tidak E ( R , P T, K )PSEBUAHE(RSEBUAH+1,K)E(R+1,K)E(R,PT,K).

Gilles 'SANGAT berhenti menjadi jahat'
sumber
Lihat diskusi tentang kriptografi / tag keamanan dalam meta
Ran G.

Jawaban:

5

Protokol ini tampaknya tidak aman karena fakta bahwa Bob mengirim . Ini dapat digunakan oleh Trudy untuk "menghasilkan" enkripsiE(RSEBUAH,K) yang nantinya akan digunakan untuk melengkapi protokol otentikasi.E(RSEBUAH+1,PT,K)

Secara khusus, pertimbangkan serangan berikut:

Trudy mengambil acak dan menjalankan protokol dengan Bob dengan cara berikut: T B :R1

TB:"Aku Alice",R1+1,PTBT:E(R1+1,PT,K)

TB:"Aku Alice",R1BT:E(R1,K)TB:E(R1+1,PT,K)
K

E(1,RSEBUAH)E(2,RSEBUAH+1,P)

Ran G.
sumber