Протокол Нідгема — Шредера

Протокол Нідгема-Шредера узагальнює два комунікаційні протоколи, призначені для незахищених мереж. Обидва запропоновані Роджером Нідгемом і Майклом Шредером.^[1]

• Протокол Нідгема-Шредера з симетричними ключами заснований на алгоритмі симетричного шифрування. Він складає основу для протоколу Kerberos. Цей протокол спрямований на встановлення ключа сеансу між двома суб'єктами в мережі, використовується переважно для обміну повідомленнями.
• Протокол Нідгема-Шредера з відкритими ключами заснований на криптографічних алгоритмах з відкритим ключем. Цей протокол покликаний забезпечити взаємну автентифікацію між двома суб'єктами. Однак оригінальний варіант протоколу містить вразливості.

Симетричний протокол[ред. | ред. код]

Припустимо Аліса (А) хоче зв'язатися з Бобом (B). S — сервер, якому довіряють обидві сторони.

Визначення:

• A і B відповідно Аліса і Боб
• K_AS симетричний ключ, який знають тільки A та S
• K_BS симетричний ключ, який знають тільки B та S
• N_A та N_B випадкові числа (nonce), A і B відповідно
• K_AB симетричний, згенерований ключ, який буде сесійним ключем у сесії між A та B

Протокол можна представити у наступному вигляді:

${\displaystyle A\rightarrow S:\left.A,B,N_{A}\right.}$

Аліса відправляє повідомлення на сервер, щоб ідентифікувати себе та Боба, і говорить серверу що хоче зв'язатися з Бобом.

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}}$

Сервер генерує ${\displaystyle {K_{AB}}}$ і відправляє Алісі оригінал ключа, а також його копію зашифровану під ${\displaystyle {K_{BS}}}$, щоб Аліса могла його безпечно відправити Бобу. Так як Аліса може зв'язуватися із кількома різними людьми одночасно, потрібне її випадкове число, для ідентифікації з'єднання. Також включається ім'я Боба, щоб вказати Алісі кому пересилати зашифрований ключ.

${\displaystyle A\rightarrow B:\{K_{AB},A\}_{K_{BS}}}$

Аліса відправляє ключ Бобу, який може його розшифрувати за допомогою свого ключа (K_BS) і таким чином автентифікуватися.

${\displaystyle B\rightarrow A:\{N_{B}\}_{K_{AB}}}$

Боб відправляє Алісі своє випадкове число (N_B) зашифроване ключем ${\displaystyle {K_{AB}}}$, щоб засвідчити що у нього є ключ.

${\displaystyle A\rightarrow B:\{N_{B}-1\}_{K_{AB}}}$

Аліса розшифровує N_B віднімає від нього одиницю, знов шифрує його ключем ${\displaystyle {K_{AB}}}$ і відправляє Бобу, щоб засвідчити, що саме вона досі на зв'язку.

Вразливості протоколу[ред. | ред. код]

Протокол вразливий до атаки повторного відтворення (дослідили Деннінг і Сакко). Якщо зловмисник володіє старими значеннями K_AB, він може повторно відправити повідомлення ${\displaystyle \{K_{AB},A\}_{K_{BS}}}$ Бобу і той його прийме, бо не знатиме що ключ застарілий.

Латка на діру[ред. | ред. код]

Цей недолік фіксується у протоколі Кербера шляхом впровадження мітки. Вона також може бути закрита, додаванням випадкового числа (nonce), як описано далі.

На початку протоколу:

${\displaystyle A\rightarrow B:A}$

Аліса відправляє Бобу запит.

${\displaystyle B\rightarrow A:\{A,\mathbf {N_{B}'} \}_{K_{BS}}}$

Боб відповідає своїм випадковим числом (nonce) зашифрованим під його ключем (K_BS)

${\displaystyle A\rightarrow S:\left.A,B,N_{A},\{A,\mathbf {N_{B}'} \}_{K_{BS}}\right.}$

Аліса відправляє повідомлення на сервер, щоб ідентифікувати себе та Боба, і говорить серверу що хоче зв'язатися з Бобом.

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A,\mathbf {N_{B}'} \}_{K_{BS}}\}_{K_{AS}}}$

Зверніть увагу, що з'явився аргумент випадкове число.

Далі протокол працює за тим же алгоритмом, що наведений вище. Зверніть увагу, що ${\displaystyle N_{B}'}$ і ${\displaystyle N_{B}}$ різні. Додавання випадкового числа, унеможливлює використання атаки повторного відтворення за допомогою застарілих ключів ${\displaystyle \{K_{AB},A,\mathbf {N_{B}'} \}_{K_{BS}}}$, тому що ключем K_BS володіють тільки Боб та довірений сервер.

Протокол з відкритим ключем[ред. | ред. код]

Використовує асиметричні алгоритми шифрування.

Розглянемо, Аліса (А), Боб (B) і перевірений сервер (S).

Визначення:

• K_PA і K_SA, відповідно публічний та приватний ключі шифрування для A
• K_PB і K_SB, аналогічно для B
• K_PS і K_SS, аналогічно для S. (Зверніть увагу, що K_SS використовують для шифрування, а для розшифрування K_PS).

Робота протоколу:

${\displaystyle A\rightarrow S:\left.A,B\right.}$

A відправляє запит до S на отримання відкритого ключа B.

${\displaystyle S\rightarrow A:\{K_{PB},B\}_{K_{SS}}}$

S повертає відкритий ключ K_PB який відповідає B, підписаний сервером для затвердження автентичності.

${\displaystyle A\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

A визначає N_A і відправляє його Бобу (B).

${\displaystyle B\rightarrow S:\left.B,A\right.}$

B відправляє запит до S на отримання відкритого ключа A.

${\displaystyle S\rightarrow B:\{K_{PA},A\}_{K_{SS}}}$

Сервер відповідає.

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

B генерує N_B і відправляє його разом з N_A, щоб підтвердити здатність розшифровувати ключем K_SB.

${\displaystyle A\rightarrow B:\{N_{B}\}_{K_{PB}}}$

A відправляє N_B Бобу (B), щоб підтвердити здатність розшифровувати ключем K_SA.

Після завершення алгоритму A і B впевнені один в одному і знають N_A і N_B. Ці числа відомі тільки для A і B.

Вразливості протоколу[ред. | ред. код]

На жаль, цей протокол вразливий до атаки «Людина всередині». Зловмисник може почати сесію з А і ретранслювати її Бобу (B) і таким чином представити себе перед B, як A.

Пропустимо запити до і від сервера, вони залишаються незмінними, схема атака виглядає так:

${\displaystyle A\rightarrow I:\{N_{A},A\}_{K_{PI}}}$

A посилає N_A зашифроване K_SI.

${\displaystyle I\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

I перенаправляє повідомлення до B, маскуючись під A.

${\displaystyle B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}}$

B відправляє N_B.

${\displaystyle I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

I перенаправляє повідомлення до A.

${\displaystyle A\rightarrow I:\{N_{B}\}_{K_{PI}}}$

A розшифровує N_B і відправляє підтвердження до I.

${\displaystyle I\rightarrow B:\{N_{B}\}_{K_{PB}}}$

I перешифровує N_B, і відправляє до B для підтвердження.

Після атаки B помилково думає, що спілкується з A і що N_A і N_B знає тільки A і B.

Унеможливлення атаки «Людина всередині»[ред. | ред. код]

Атака вперше була описана в 1995 у роботі Гевіна Лоу.^[2] Там також присутня оновлена схема протоколу (яка застерігає від атаки), названа протоколом Нідгема-Шредера-Лоу. Виправлення полягає у заміні шостого запиту, тобто нам треба змінити:

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

на новий запит:

${\displaystyle B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}}$

Див. також[ред. | ред. код]

• Kerberos
• Протокол Отвея-Рііса
• Протокол Wide Mouth Frog
• Протокол Ньюмана — Стабблбайна

Примітки[ред. | ред. код]

Посилання[ред. | ред. код]

• Опис протоколу з відкритим ключем [Архівовано 23 жовтня 2008 у Wayback Machine.] (англ.)
• Протоколи із симетричними ключами [Архівовано 6 грудня 2012 у WebCite] (англ.)
• Зміни Лоу у протоколі з відкритими ключами [Архівовано 6 грудня 2012 у WebCite] (англ.)

Це незавершена стаття з криптографії. Ви можете допомогти проєкту, виправивши або дописавши її.

Програмування   Інформаційні технології   Математика