Wide-Mouth Frog | это... Что такое Wide-Mouth Frog? (original) (raw)

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

	Идентифкаторы Алисы (Alice), инициатора сессии
	Идентифкатор Боба (Bob), стороны, с которой устанавливается сессия
	Идентифкатор Трента (Trent), доверенной промежуточной стороны
	Открытые ключи Алисы, Боба и Трента
$K_A^{-1}, K_B^{-1}, K_T^{-1}$	Секретные ключи Алисы, Боба и Трента
$E_A, \left\{...\right\}_{K_A}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$E_B, \left\{...\right\}_{K_B}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
$\left\{...\right\}_{K_B^{-1}}, \left\{...\right\}_{K_A^{-1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
	Порядковый номер сессии (для предотвращения атаки с повтором)
	Случайный сеансовый ключ, который будет использоваться для симетричного шифрования данных
$E_K, \left\{...\right\}_{K}$	Шифрование данных временным сеансовым ключом
	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Wide-Mouth Frog (досл. с англ. «лягушка с широкой глоткой») — возможно самый простой протокол для симметричного обмена ключами, с использование доверенного сервера. (Алиса) (Боб) разделяют секретный ключ с (Трентом). В данном протоколе ключи используются только для их распределения, а не для шифрования сообщений.[1]

Содержание

1 История
2 Протокол Wide-Mouthed Frog
3 Атаки на протокол Wide-Mouthed Frog
- 3.1 Атака 1995 года
- 3.2 Атака 1997 года
4 Модифицированный Wide-Mouthed Frog протокол
5 Особенности
6 Примечания
7 Литература

История

Автором считается Майкл Бэрроуз (англ. Michael Burrows) и впервые был опубликован в "Michael Burrows, Martin Abadi, and Roger Needham. A logic of authentication." [2] в 1989 году. Позже в 1997 Гэвин Лоу (англ. Gavin Lowe) в своей работе "A Family of Attacks upon Authentication Protocols" [3] предложил модифицированный Wide-Mouthed Frog протокол (англ. Lowe modiﬁed Wide-Mouthed frog protocol), исправляющий некоторые уязвимости.

Протокол Wide-Mouthed Frog

Для начала сеанса передачи сообщений Алиса шифрует конкатенацию метки времени, идентификатора Боба и сгенерированного случайного сеансового ключа. В качестве ключа шифрования используется ключ, который известен Алисе и Тренту — промежуточному доверенному серверу. После этого Алиса передает своё имя (в открытом виде) и зашифрованные данные Тренту.

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$

Трент расшифровывает совместным с Алисой ключом пакет, выбирает оттуда сгенерированный Алисой случайный сеансовый ключ и составляет конкатенацию из новой метки времени, идентификатора Алисы и сеансового ключа, после чего шифрует её общим с Бобом ключом и передаёт ему.

$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$

После этого Боб расшифровывает пакет данных общим с Трентом ключом и может использовать сгенерированный Алисой случайный сеансовый ключ для передачи данных.

Атаки на протокол Wide-Mouthed Frog

Атака 1995 года

В 1995 году Рос Андерсон (англ. Ross Anderson) и Роджер Нидхэм (англ. Roger Needham) предложили следующий алгоритм атаки на протокол:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$I(Bob) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Trent$
$Trent \to \left\{ E_A \left( T'_T, B, K \right) \right\} \to Alice$
$I(Alice) \to \left\{ A, E_A \left( T'_T, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T''_T, A, K \right) \right\} \to Bob$ ,

где I(Alice) и I(Bob) - злоумышленник имитирующий Алису и Боба соответственно.

Изъян протокола заключается в том, что Трент обновляет свою временную метку T_T , от временной метки Алисы T_A . То есть пока Трент не держит список всех рабочих ключей и меток, злоумышленник может поддерживать ключи рабочими, используя Трента в качестве предсказателя.

Практический результат данного недостатка будет зависеть от приложения. Например, если пользователи используют смарт-карту с данным протоколом, который в открытом виде отправляет сессионный ключ в программный модуль шифрования (англ. software bulk encryption routine), то ключи могут быть открыты для данной атаки. Злоумышленник может наблюдать как Алиса и Боб проводят сессии и поддерживать ключи рабочими, пока не появится возможность выкрасть смарт-карту.[4]

Атака 1997 года

В 1997 году Гэвин Лоу (англ. Gavin Lowe) предложил еще один вариант атаки на данный протокол, основанный на том, что злоумышленник заставляет думать Боба, что Алиса установила два сеанса обмена, в то время как Алиса устанавливает один сеанс. Атака включает два чередующихся прохода протокола, которые мы назовем $\alpha$ и $\beta$ , обозначим, например, второе сообщение сеанса \alpha как $\alpha .2.$ Тогда атака выглядит следующим образом:

$\alpha .1.$ $Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$\alpha .2.$ $Trent \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$
$\beta .2.$ $I(Trent) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$ ,

где I(Trent) злоумышленник имитирующий Трента.

Сеанс $\alpha$ представляет нормальный ход обмена ключами, когда Алиса устанавливает сеанс с Бобом, используя ключ . Тогда в сообщении $\beta .2$ , злоумышленник имитирует Трента,и повторяет сообщение $\alpha .2$ ; после чего Боб считает, что Алиса пытается начать второй сеанс.

Кроме того, злоумышленник может воспроизвести для Трента сообщение $\alpha .1$ , как сообщение следующего сеанса. Это приведет к получению Бобом второго сообщение, с таким же результатом как и ранее.

Данную уязвимость исправляет модифицированный Wide-Mouthed Frog протокол (англ. Lowe modiﬁed Wide-Mouthed frog protocol) [5]

Модифицированный Wide-Mouthed Frog протокол

Данная модификация была предложена Гэвином Лоу (англ. Gavin Lowe), для устранения уязвимости для атаки 1997 года. Выглядит она следующим образом:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$Bob \to \left\{ R_B \right\}_K \to Alice$
$Alice \to \left\{ R_B +1\right\}_K \to Bob$

Эти изменения позволят избежать атак 1997 года: Боб будет генерировать два разных одноразовых номера, по одному для каждого сеанса, и ожидать в качестве ответа сообщение 4. В то же время Алиса будет возвращать только одно такое сообщение, и злоумышленник не сможет сгенерировать другого.

К сожалению, данная модификация убирает самую привлекательную черту протокола Wide-Mouthed Frog - простоту.[5]

Особенности

Требуется глобальный счетчик.
Трент имеет доступ ко всем ключам.
Значение сессионного ключа полностью определяется Алисой, то есть она должна быть достаточно компетентной для генерации хороших ключей.
Может дублировать сообщения, во время действия временной метки.
Алиса не знает существует ли Боб.
Протокол динамичный, что обычно нежелательно, так как это требует большей функциональности от Трента. Например, Трент должен справляется с ситуацией, когда Боб недоступен

Примечания

↑ An Analysis Of Session Key Exchange Protocols Pranav Vyas, Dr. Bhushan Trivedi, 2012
↑ M. Burrows, M. Abadi, R. Needham Research Report 39, Digital Equipment Corp. Systems Research Center Feb. 1989
↑ Gavin Lowe Department of Mathematics and Computer Science, Technical Report 1997/5, University of Leicester
↑ Ross Anderson and Roger Needham Programming Satan's Computer
↑ 1 2 Gavin Lowe A Family of Attacks upon Authentication Protocols

Литература

Шнайер Б. Протокол Wide-Mouth Frog // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 78. — 816 с. — 3000 экз. — ISBN 5-89392-055-4
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // Research Report 39, Digital Equipment Corp. Systems Research Center — Feb. 1989
M. Burrows, M. Abadi, R. Needham A Logic of Authentication // ACM Transactions on Computer Systems, — v. 8 — n. 1 — Feb. 1990 — pp. 18—36
Gavin Lowe A Family of Attacks upon Authentication Protocols // Department of Mathematics and Computer Science, Technical Report 1997/5, University of Leicester Jan. 1997
Pranav Vyas, Dr. Bhushan Trivedi An Analysis Of Session Key Exchange Protocols // International Journal of Engineering Research and Applications Vol. 2, Issue 4, June-July 2012, pp.658-663
Ji Ma, Mehmet A. Orgun and Abdul Sattar Analysis of Authentication Protocols in Agent-Based Systems Using Labeled Tableaux // IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART B: CYBERNETICS, VOL. 39, NO. 4, AUGUST 2009
Security Protocol Open Repository
Ross Anderson and Roger Needham Programming Satan's Computer // Cambridge University Computer Laboratory Pembroke Street, Cambridge, England CB2 3QG

Протоколы аутентификации и обмена ключами
С симметричными алгоритмами	Wide-Mouth Frog • Yahalom • Протокол Нидхема — Шрёдера • Протокол Отвея — Рииса • Kerberos • Протокол Ньюмана — Стабблбайна
С симметричными и асимметричными алгоритмами	DASS • Протокол Деннинга — Сакко • Протокол Ву — Лама • SPKM
Протоколы и сервисы, используемые в Internet	OAuth • OpenID • Windows Live ID