Protocolo Needham-Schroeder

format_list_bulleted Contenido keyboard_arrow_down

ImprimirCitar

Protocolo de transporte clave

El protocolo Needham-Schroeder es uno de los dos protocolos de transporte clave destinados a su uso en una red insegura, ambos propuestos por Roger Needham y Michael Schroeder. Estos son:

El Needham-Schroeder Protocolo clave simétrico, basado en un algoritmo de cifrado simétrico. Forma la base para el protocolo Kerberos. Este protocolo tiene por objeto establecer una sesión clave entre dos partes en una red, normalmente para proteger la comunicación futura.
El Needham-Schroeder Public-Key Protocol, basado en la criptografía de clave pública. Este protocolo tiene por objeto proporcionar autenticación mutua entre dos partes que se comunican en una red, pero en su forma propuesta es insegura.

El protocolo simétrico

Aquí, Alice. $(A)$ inicia la comunicación a Bob $B$ . $S$ es un servidor confiado por ambas partes. En la comunicación:

$A$ y $B$ son identidades de Alice y Bob respectivamente
${displaystyle {K_{AS}}}$ es una clave simétrica conocida sólo $A$ y $S$
${K_{{BS}}}$ es una clave simétrica conocida sólo $B$ y $S$
$N_{A}$ y $N_{B}$ no se generan por $A$ y $B$ respectivamente
${K_{{AB}}}$ es una clave simétrica y generada, que será la clave del período de sesiones entre $A$ y $B$

El protocolo se puede especificar de la siguiente manera en la notación de protocolo de seguridad:

$Arightarrow S:left.A,B,N_{A}right.$

Alice envía un mensaje al servidor identificándose con Bob, diciéndole al servidor que quiere comunicarse con Bob.

$Srightarrow A:{N_{A},K_{{AB}},B,{K_{{AB}},A}_{{K_{{BS}}}}}_{{K_{{AS}}}}$

El servidor genera

{K_{{AB}}}

y envía a Alice una copia encriptada

{K_{{BS}}}

para Alice para enviar a Bob y también una copia para Alice. Desde Alice puede estar pidiendo claves para varias personas diferentes, la noción asegura a Alice que el mensaje es fresco y que el servidor está respondiendo a ese mensaje particular y la inclusión del nombre de Bob dice Alice con quien va a compartir esta llave.

$Arightarrow B:{K_{{AB}},A}_{{K_{{BS}}}}$

Alice envía la clave a Bob que puede descifrarla con la llave que comparte con el servidor, autenticando así los datos.

$Brightarrow A:{N_{B}}_{{K_{{AB}}}}$

Bob envía Alice un nonce encriptado

{K_{{AB}}}

para demostrar que tiene la llave.

$Arightarrow B:{N_{B}-1}_{{K_{{AB}}}}$

Alice realiza una operación sencilla en el nonce, lo vuelve a encriptar y lo envía de nuevo verificando que todavía está viva y que tiene la llave.

Ataques al protocolo

El protocolo es vulnerable a un ataque de repetición (como lo identifica Denning y Sacco). Si un atacante utiliza un valor más viejo y comprometido para $K_{{AB}}$ , entonces puede reproducir el mensaje ${K_{{AB}},A}_{{K_{{BS}}}}$ a Bob, quien lo aceptará, siendo incapaz de decir que la llave no es fresca.

Arreglando el ataque

Esta falla se soluciona en el protocolo Kerberos mediante la inclusión de una marca de tiempo. También se puede solucionar con el uso de nonces como se describe a continuación. Al inicio del protocolo:

Arightarrow B:A

Alice envía a Bob una petición.

Brightarrow A:{A,{mathbf {N_{B}'}}}_{{K_{{BS}}}}

Bob responde con un nonce encriptado bajo su llave con el Servidor.

Arightarrow S:left.A,B,N_{A},{A,{mathbf {N_{B}'}}}_{{K_{{BS}}}}right.

Alice envía un mensaje al servidor identificándose con Bob, diciéndole al servidor que quiere comunicarse con Bob.

Srightarrow A:{N_{A},K_{{AB}},B,{K_{{AB}},A,{mathbf {N_{B}'}}}_{{K_{{BS}}}}}_{{K_{{AS}}}}

Observe la inclusión del nonce.

El protocolo continúa como se describe a través de los tres pasos finales que se describen en el protocolo original anterior. Note que ${displaystyle N_{B}'}$ es un nonce diferente de $N_{B}$ . La inclusión de este nuevo nonce impide la repetición de una versión comprometida de ${K_{{AB}},A}_{{K_{{BS}}}}$ ya que ese mensaje tendría que ser de la forma ${K_{{AB}},A,{mathbf {N_{B}'}}}_{{K_{{BS}}}}$ que el atacante no puede forjar ya que no tiene $K_{{BS}}$ .

El protocolo de clave pública

Esto supone el uso de un algoritmo de cifrado de clave pública.

Aquí, Alice. $(A)$ y Bob $(B)$ utilizar un servidor de confianza ${displaystyle (S)}$ para distribuir llaves públicas bajo petición. Estas llaves son:

${displaystyle K_{PA}}$ y ${displaystyle K_{SA}}$ , respectivamente, las mitades públicas y privadas de un llavero de cifrado perteneciente a $A$ () $S$ significa "la clave secreta" aquí)
${displaystyle K_{PB}}$ y ${displaystyle K_{SB}}$ , similar belonging to $B$
${displaystyle K_{PS}}$ y ${displaystyle K_{SS}}$ , similar belonging to $S$ . (Nota que este teclado se utilizará para las firmas digitales, es decir, ${displaystyle K_{SS}}$ utilizado para firmar un mensaje y ${displaystyle K_{PS}}$ utilizado para la verificación. ${displaystyle K_{PS}}$ debe ser conocido $A$ y $B$ antes de que comience el protocolo.)

El protocolo se ejecuta de la siguiente manera:

$Arightarrow S:left.A,Bright.$

A

Solicitudes

B

's llaves públicas de

S

$Srightarrow A:{K_{{PB}},B}_{{K_{{SS}}}}$

S

responde con clave pública

{displaystyle K_{PB}}

junto

B

's identidad, firmada por el servidor para fines de autenticación.

$Arightarrow B:{N_{A},A}_{{K_{{PB}}}}$

A

elige un azar

N_{A}

y lo envía a

B

$Brightarrow S:left.B,Aright.$

B

Ahora lo sabe. Un quiere comunicarse, así que

B

Solicitudes

A

Es clave pública.

$Srightarrow B:{K_{{PA}},A}_{{K_{{SS}}}}$

El servidor responde.

$Brightarrow A:{N_{A},N_{B}}_{{K_{{PA}}}}$

B

elige un azar

N_{B}

, y lo envía a

A

junto con

N_{A}

para demostrar la capacidad de descifrar con

{displaystyle K_{SB}}

$Arightarrow B:{N_{B}}_{{K_{{PB}}}}$

A

confirmaciones

N_{B}

B

, para probar la capacidad de descifrar con

{displaystyle K_{SA}}

Al final del protocolo, $A$ y $B$ conocer las identidades del otro, y conocer ambos $N_{A}$ y $N_{B}$ . Estos noces no son conocidos por los audífonos.

Un ataque al protocolo

Este protocolo es vulnerable a un ataque humano en medio. Si un impostor $I$ puede persuadir $A$ para iniciar una sesión con ellos, pueden transmitir los mensajes $B$ y convencer $B$ que se está comunicando con $A$ .

Ignorar el tráfico hacia y desde $S$ , que no cambia, el ataque corre como sigue:

$Arightarrow I:{N_{A},A}_{{K_{{PI}}}}$

A

envía

N_{A}

I

, que descifra el mensaje con

{displaystyle K_{SI}}

$Irightarrow B:{N_{A},A}_{{K_{{PB}}}}$

I

transmite el mensaje a

B

, fingiendo que

A

se está comunicando

$Brightarrow I:{N_{A},N_{B}}_{{K_{{PA}}}}$

B

envía

N_{B}

$Irightarrow A:{N_{A},N_{B}}_{{K_{{PA}}}}$

I

lo transmite a

A

$Arightarrow I:{N_{B}}_{{K_{{PI}}}}$

A

Decrypts

{displaystyle NB}

y lo confirma

I

, que lo aprende

$Irightarrow B:{N_{B}}_{{K_{{PB}}}}$

I

re-encriptaciones

N_{B}

, y convence

B

que está descifrada

Al final del ataque, $B$ falsamente cree que $A$ se comunica con él, y eso $N_{A}$ y $N_{B}$ son conocidos sólo $A$ y $B$ .

El siguiente ejemplo ilustra el ataque. Alice (A) desea ponerse en contacto con su banco (B). Suponemos que un impostor (I) convence exitosamente a A de que es el banco. Como consecuencia, A utiliza la clave pública de I en lugar de utilizar la clave pública de B para cifrar los mensajes que pretende enviar a su banco. Por lo tanto, A le envía su nonce cifrado con la clave pública de I. I descifra el mensaje usando su clave privada y contacta a B enviándole el nonce de A cifrado con la clave pública de B. B no tiene forma de saber que este mensaje fue realmente enviado por I. B responde con su propio nonce y cifra el mensaje con la clave pública de A. Como I no posee la clave privada de A, tienen que transmitir el mensaje a A sin conocer el contenido. A descifra el mensaje con su clave privada y responde con el nonce de B cifrado con la clave pública de I. I descifra el mensaje usando su clave privada y ahora está en posesión de los nonce A y B. Por lo tanto, ahora pueden hacerse pasar por el banco. y el cliente respectivamente.

Arreglando el ataque del intermediario

El ataque fue descrito por primera vez en un artículo de 1995 de Gavin Lowe. El artículo también describe una versión fija del esquema, denominada protocolo Needham-Schroeder-Lowe. La solución implica la modificación del mensaje seis para incluir la identidad del respondedor, es decir, reemplazamos:

$Brightarrow A:{N_{A},N_{B}}_{{K_{{PA}}}}$

con la versión fija:

$Brightarrow A:{N_{A},N_{B},B}_{{K_{{PA}}}}$

y el intruso no puede reproducir correctamente el mensaje porque A espera un mensaje que contenga la identidad de I, mientras que el mensaje tendrá la identidad de B.

Contenido relacionado

Más resultados...