Hancurkan protokol otentikasi berdasarkan kunci simetris yang dibagikan sebelumnya

Pertimbangkan protokol berikut, yang dimaksudkan untuk mengotentikasi (Alice) ke (Bob) dan sebaliknya. $A$ $B$

\begin{aligned} SEBUAH \to B : & "Aku Alice", R_{SEBUAH} \\ B \to SEBUAH : & E (R_{SEBUAH}, K) \\ SEBUAH \to B : & E (⟨ R_{SEBUAH} + 1, P_{SEBUAH} ⟩, K) \end{aligned}

$\begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*}$

adalah bilangan acak. $R$
adalah kunci simetris yang dibagikan sebelumnya. $K$
adalah muatan. $P$
berarti dienkripsi dengan . $E(m, K)$ $m$ $K$
cara dirakit dengan dengan cara yang dapat diterjemahkan jelas. $\langle m_1, m_2\rangle$ $m_1$ $m_2$
Kami berasumsi bahwa algoritma kriptografi aman dan diimplementasikan dengan benar.

Seorang penyerang (Trudy) ingin meyakinkan Bob untuk menerima payload-nya berasal dari Alice (sebagai pengganti ). Bisakah Trudy menyamar sebagai Alice? Bagaimana? $P_T$ $P_A$

_{Ini sedikit dimodifikasi dari latihan 9.6 di Keamanan Informasi: Prinsip dan Praktek oleh Mark Stamp . Dalam versi buku, tidak ada , pesan terakhir hanya , dan persyaratannya adalah bagi Trudy untuk “meyakinkan Bob bahwa dia adalah Alice”. Mark Stamp meminta kita untuk menemukan dua serangan, dan dua saya menemukan memungkinkan Trudy untuk menempa tetapi tidak $P_A$ $E(R_A+1,K)$ $E(R+1,K)$ $E(\langle R, P_T\rangle, K)$ .}

cryptography protocols authentication

— Gilles 'SANGAT berhenti menjadi jahat'
sumber

Lihat diskusi tentang kriptografi / tag keamanan dalam meta

— Ran G.

Protokol ini tampaknya tidak aman karena fakta bahwa Bob mengirim . Ini dapat digunakan oleh Trudy untuk "menghasilkan" enkripsi $E(R_A,K)$ yang nantinya akan digunakan untuk melengkapi protokol otentikasi. $E(\langle R_A+1,P_T\rangle , K)$

Secara khusus, pertimbangkan serangan berikut:

Trudy mengambil acak dan menjalankan protokol dengan Bob dengan cara berikut: $R_1$

\begin{aligned} T \to B : & "Aku Alice", ⟨ R_{1} + 1, P_{T} ⟩ \\ B \to T : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, \langle R_1+1,P_T \rangle \\ B \to T: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K)} \\ \end{align*}$

\begin{aligned} T \to B : & "Aku Alice", R_{1} \\ B \to T : & E (R_{1}, K) \\ T \to B : & E (⟨ R_{1} + 1, P_{T} ⟩, K) \end{aligned}

$\begin{align*} T \to B: &\quad \text{“I'm Alice”}, R_1 \\ B \to T: &\quad E(R_1, K) \\ T \to B: &\quad \color{blue}{E(\langle R_1+1,P_T \rangle, K) } \end{align*}$

K

$K$

$E(\langle 1, R_A\rangle)$ $E(\langle 2, R_A+1, P\rangle)$

— Ran G.
sumber