Needham–Schroeder-protokollet

Needham –Schroeder-protokollet är ett av de två nyckeltransportprotokollen som är avsedda för användning över ett osäkert nätverk, båda föreslagna av Roger Needham och Michael Schroeder . Dessa är:

• Needham –Schroeder Symmetric Key Protocol , baserat på en symmetrisk krypteringsalgoritm . Det utgör grunden för Kerberos -protokollet. Detta protokoll syftar till att upprätta en sessionsnyckel mellan två parter i ett nätverk, vanligtvis för att skydda ytterligare kommunikation.
• Needham –Schroeder Public-Key Protocol , baserat på public-key kryptografi . Detta protokoll är avsett att tillhandahålla ömsesidig autentisering mellan två parter som kommunicerar på ett nätverk, men i sin föreslagna form är det osäkert.

Det symmetriska protokollet

Här initierar Alice ${\displaystyle (A)}$ kommunikationen till Bob ${\displaystyle B}$ . ${\displaystyle S}$ är en server som båda parter litar på. I kommunikationen:

• ${\displaystyle A}$ och ${\displaystyle B}$ är identiteter för Alice respektive Bob
• ${\displaystyle {K_{AS}}}$ är en symmetrisk nyckel som endast är känd för ${\displaystyle A}$ och ${\displaystyle S}$
• ${\displaystyle {K_{BS}}}$ är en symmetrisk nyckel som endast är känd för ${\displaystyle B}$ och ${\displaystyle S}$
• ${\displaystyle N_{A}}$ och N $\displaystyle N_{B}}$ är nonser genererade av ${\displaystyle A}$ respektive ${\displaystyle B}$
• ${\displaystyle {K_{AB}}}$ är en symmetrisk, genererad nyckel, som kommer att vara sessionsnyckeln för sessionen mellan ${\displaystyle A}$ och ${\displaystyle B}$

Protokollet kan specificeras enligt följande i säkerhetsprotokollnotation :

${\displaystyle A\rightarrow S:\left.A,B,N_{A}\right.}$

Alice skickar ett meddelande till servern som identifierar sig själv och Bob och berättar för servern att hon vill kommunicera med Bob.

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B, \{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}}$

Servern genererar ${\displaystyle {K_{AB}}}$ och skickar tillbaka till Alice en kopia krypterad under ${\displaystyle {K_{BS}}}$ för Alice att vidarebefordra till Bob och även en kopia för Alice . Eftersom Alice kan begära nycklar för flera olika personer, försäkrar nonce Alice att meddelandet är färskt och att servern svarar på just det meddelandet och inkluderingen av Bobs namn talar om för Alice vem hon är att dela denna nyckel med.

${\displaystyle A\rightarrow B:\{K_{AB},A\}_{K_{BS}}}$

Alice vidarebefordrar nyckeln till Bob som kan dekryptera den med nyckeln han delar med servern och på så sätt autentisera data.

${\displaystyle B\rightarrow A:\{N_{B}\}_{K_{AB}}}$

Bob skickar Alice en nonce krypterad under ${\displaystyle {K_{AB}}}$ för att visa att han har nyckeln.

${\displaystyle A\rightarrow B:\{N_{B}-1\}_{K_{AB}}}$

Alice utför en enkel operation på nonce, omkrypterar den och skickar tillbaka den för att verifiera att hon fortfarande lever och att hon har nyckeln.

Attacker mot protokollet

Protokollet är sårbart för en replay-attack (som identifierats av Denning och Sacco). Om en angripare använder ett äldre, komprometterat värde för ${\displaystyle K_{AB}}$ kan han sedan spela upp meddelandet ${\displaystyle \{K_{AB},A\ }_{K_{BS}}}$ till Bob, som kommer att acceptera det, eftersom han inte kan säga att nyckeln inte är färsk.

Att fixa attacken

Denna brist åtgärdas i Kerberos-protokollet genom att en tidsstämpel ingår . Det kan också fixas med hjälp av nonces som beskrivs nedan. I början av protokollet:

${\displaystyle A\rightarrow B:A}$

Alice skickar en förfrågan till Bob.

${\displaystyle B\rightarrow A:\{A,\mathbf {N_{B}'} \}_{K_{BS}}} Bob$

svarar med ett nonce krypterad under sin nyckel med servern.

${\displaystyle A\rightarrow S:\left.A,B,N_{A},\{A,\mathbf {N_{ B}'} \}_{K_{BS}}\right.}$

Alice skickar ett meddelande till servern som identifierar sig själv och Bob och talar om för servern att hon vill kommunicera med Bob.

${\displaystyle S\rightarrow A:\{N_{A},K_{AB },B,\{K_{AB},A,\mathbf {N_{B}'} \}_{K_{BS}}\}_{K_{AS}}} Notera inkluderingen av nonce$

.

Protokollet fortsätter sedan som beskrivits genom de tre sista stegen som beskrivs i det ursprungliga protokollet ovan . Observera att ${\displaystyle N_{B}'}$ är en annan nonce än ${\displaystyle N_{B}}$ . Inkluderingen av denna nya nonce förhindrar uppspelning av en komprometterad version av ${\displaystyle \{K_{AB},A\}_{K_{BS}}}$ eftersom ett sådant meddelande skulle måste ha formen ${\displaystyle \{K_{AB},A,\mathbf {N_{B}'} \}_{K_{BS}} }$ som angriparen inte kan förfalska eftersom hon inte har ${\displaystyle K_{BS}}$ .

Protokollet med offentlig nyckel

Detta förutsätter användningen av en krypteringsalgoritm med offentlig nyckel .

Här använder Alice ${\displaystyle (A)}$ och Bob ${\displaystyle (B)}$ en betrodd server ${\displaystyle (S)}$ för att distribuera publika nycklar på begäran. Dessa nycklar är:

• ${\displaystyle K_{PA}}$ och ${\displaystyle K_{SA}}$ , offentliga respektive privata halvor av ett krypteringsnyckelpar som tillhör ${\displaystyle A}$ ( ${\displaystyle S}$ står för "hemlig nyckel" här)
• ${\displaystyle K_{PB}}$ och ${\displaystyle K_{SB}}$ , liknande tillhörande ${\displaystyle B}$
• ${\displaystyle K_{PS}}$ och ${\displaystyle K_{SS}}$ , liknande tillhörande ${\displaystyle S}$ . (Observera att detta nyckelpar kommer att användas för digitala signaturer , dvs. ${\displaystyle K_{SS}}$ används för att signera ett meddelande och ${\displaystyle K_{PS}}$ används för verifiering. ${\displaystyle K_{PS}}$ måste vara känd för ${\displaystyle A}$ och ${\displaystyle B}$ innan protokollet startar.)

Protokollet fungerar som följer:

${\displaystyle A\rightarrow S:\left.A,B\right.}$

${\displaystyle A}$ begär ${\displaystyle B}$ s publika nycklar från ${\displaystyle S}$

${\displaystyle S\rightarrow A:\{K_{PB},B\}_{K_{SS}}}$

${\displaystyle S}$ svarar med den offentliga nyckeln ${\displaystyle K_{PB}}$ bredvid ${\displaystyle B}$ s identitet, signerad av servern för autentiseringsändamål.

${\displaystyle A\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

${\displaystyle A}$ väljer en slumpmässig ${\displaystyle N_{A}}$ och skickar den till ${\displaystyle B}$ .

${\displaystyle B\rightarrow S:\left.B,A\right.}$

${\displaystyle B}$ vet nu att A vill kommunicera, så ${\displaystyle B}$ begär ${\displaystyle A}$ s publika nycklar.

${\displaystyle S\rightarrow B:\{K_{PA},A\}_{K_{SS}}}$

Servern svarar.

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle B}$ väljer en slumpmässig ${\displaystyle N_{B}}$ och skickar den till ${\displaystyle A}$ tillsammans med ${\displaystyle N_{A}}$ för att bevisa förmågan att dekryptera med ${\displaystyle K_{SB}}$ .

${\displaystyle A\rightarrow B:\{N_{B}\}_{K_{PB}}}$

${\displaystyle A}$ bekräftar ${\displaystyle N_{B}}$ till ${\displaystyle B}$ , för att bevisa förmågan att dekryptera med ${\displaystyle K_{SA}}$

I slutet av protokollet känner ${\displaystyle A}$ och ${\displaystyle B}$ varandras identiteter och känner till både ${\displaystyle N_{A}}$ och ${\displaystyle N_{B}}$ . Dessa nonces är inte kända för avlyssnare.

En attack mot protokollet

Detta protokoll är sårbart för en man-i-mitten-attack . Om en bedragare ${\displaystyle I}$ kan övertala ${\displaystyle A}$ att initiera en session med dem, kan de vidarebefordra meddelandena till ${\displaystyle B}$ och övertyga ${\displaystyle B}$ att han kommunicerar med ${\displaystyle A}$ .

Om du ignorerar trafiken till och från ${\displaystyle S} ,$ som är oförändrad, går attacken enligt följande:

${\displaystyle A\rightarrow I:\{N_{A},A\}_{K_{PI}}}$

${\displaystyle A}$ skickar ${\displaystyle N_{A}}$ till ${\displaystyle I}$ , som dekrypterar meddelandet med ${\displaystyle K_{SI}}$

${\displaystyle I\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

${\displaystyle I}$ vidarebefordrar meddelandet till ${\displaystyle B}$ och låtsas att ${\displaystyle A}$ kommunicerar

${\displaystyle B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle B}$ skickar ${\displaystyle N_{B}}$

${\displaystyle I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle I}$ vidarebefordrar den till ${\displaystyle A}$

${\displaystyle A\rightarrow I:\{N_{B}\}_{K_{PI}}}$

${\displaystyle A}$ dekrypterar ${\displaystyle NB}$ och bekräftar det till ${\displaystyle I}$ , som lär sig det

${\displaystyle I\rightarrow B:\{N_{B}\}_{K_{PB}}}$

${\displaystyle I}$ omkrypterar ${\displaystyle N_{B}}$ och övertygar ${\displaystyle B}$ att hon har dekrypterat det

I slutet av attacken tror ${\displaystyle B} felaktigt att$${\displaystyle A}$ kommunicerar med honom och att ${\displaystyle N_{A}}$ och ${\displaystyle N_{B}}$ är bara kända för ${\displaystyle A}$ och ${\displaystyle B}$ .

Följande exempel illustrerar attacken. Alice (A) skulle vilja kontakta sin bank (B). Vi antar att en bedragare (I) framgångsrikt övertygar A om att de är banken. Som en följd av detta använder A den publika nyckeln för I istället för att använda den offentliga nyckeln för B för att kryptera de meddelanden hon avser att skicka till sin bank. Därför skickar A I sin nonce krypterad med den offentliga nyckeln av I. Jag dekrypterar meddelandet med deras privata nyckel och kontakter B skickar det nonce av A krypterad med den offentliga nyckeln för B. B har inget sätt att veta att detta meddelande var faktiskt skickat av I. B svarar med sitt eget nonce och krypterar meddelandet med den offentliga nyckeln för A. Eftersom I inte är i besittning av den privata nyckeln till A måste de vidarebefordra meddelandet till A utan att känna till innehållet. A dekrypterar meddelandet med sin privata nyckel och svarar med nonce av B krypterad med den offentliga nyckeln av I. Jag dekrypterar meddelandet med deras privata nyckel och är nu i besittning av nonce A och B. Därför kan de nu utge sig för att vara banken respektive klienten.

Åtgärda man-i-mitten-attacken

Attacken beskrevs först i en tidning 1995 av Gavin Lowe . Tidningen beskriver också en fast version av schemat, kallat Needham-Schroeder-Lowe-protokollet . Korrigeringen innebär ändring av meddelande sex för att inkludera svarandens identitet, det vill säga vi ersätter:

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

med den fasta versionen:

${\displaystyle B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}}$

och inkräktaren kan inte spela upp meddelandet igen eftersom A förväntar sig ett meddelande som innehåller identiteten för I medan meddelandet kommer att ha identiteten B.

Se även

• Kerberos
• Otway–Rees protokoll
• Yahalom
• Wide Mouth Frog-protokoll
• Neuman–Stubblebine-protokollet
• Diffie-Hellman nyckelbyte

externa länkar

• Roger Needham och Michael Schroeder (1978). "Needham-Schroeder Public Key" . Laboratoire Spécification et Verification. {{ citera webben }} : CS1 underhåll: använder författarens parameter ( länk )

• Roger Needham och Michael Schroeder (1978). "Needham Schroeder symmetrisk nyckel" . Laboratoire Spécification et Verification. {{ citera webben }} : CS1 underhåll: använder författarens parameter ( länk )

• Gavin Lowe (1995). "Lowes fasta version av Needham-Schroder Public Key" . Laboratoire Spécification et Verification. {{ citera webben }} : CS1 underhåll: använder författarens parameter ( länk )
• Förklaring av man-in-the-middle-attack av Computerphile .