Denning-Saccon pöytäkirja

Todennuksessa ja avaintenvaihtoprotokollassa käytetyt kryptografiset merkinnät

$A$	Istunnon aloittajan Alice ( Alice ) tunnisteet
$B$	Bobin ( Bob ) tunniste , puoli, josta istunto muodostetaan
$T$	Luotetun välittäjän Trentin ( Trent ) tunniste
$K_{A},K_{B},K_{T}$	Alicen, Bobin ja Trentin julkiset avaimet
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Alicen, Bobin ja Trentin salaiset avaimet
$E_{A},\vasen\{...\oikea\}_{K_{A}}$	Tietojen salaus Alicen avaimella tai Alicen ja Trentin yhteisellä avaimella
$E_{B},\vasen\{...\oikea\}_{K_{B}}$	Tietojen salaus Bobin avaimella tai Bobin ja Trentin yhteisellä avaimella
$\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Tietojen salaus Alice, Bobin salaisilla avaimilla (digitaalinen allekirjoitus)
$minä$	Istunnon järjestysnumero (uudelleentoistohyökkäysten estämiseksi)
$K$	Satunnainen istuntoavain, jota käytetään tietojen symmetriseen salaukseen
$E_{K},\vasen\{...\oikea\}_{K}$	Tietojen salaus väliaikaisella istuntoavaimella
$T_{A}, T_{B}$	Liisa ja Bob ovat lisänneet viesteihin aikaleimat
$R_{A},R_{B}$	Satunnaiset luvut ( nonce ), jotka Alice ja Bob valitsivat vastaavasti
$K_{A},K_{B},K_{T}$	Alicen, Bobin ja Trentin valmiiksi luomat julkiset ja yksityiset avainparit
$K_{p}$	Satunnaisistunnon julkinen/yksityinen avainpari, jota käytetään epäsymmetriseen salaukseen
$S_{A},S_{B},$ $S_{T},S_{K_{p))$	Tietojen allekirjoittaminen käyttämällä Alicen, Bobin, väliosapuolen ( Trent ) yksityistä avainta tai vastaavasti satunnaisparin yksityistä avainta
$E_{K_{A)),E_{K_{B)),$ ${\näyttötyyli E_{K_{T)),E_{K_{p))}$	Epäsymmetrinen tietojen salaus käyttäen Alicen, Bobin, välittäjän ( Trent ) julkista avainta tai vastaavasti satunnaisparin julkista avainta

Denning-Sacco-protokolla [1] on yleinen nimi symmetrisille ja epäsymmetrisille luotetun osapuolen avainten jakeluprotokollille .

Historia

Vuonna 1981 Purduen yliopiston työntekijät Dorothy E. Denning ja Giovanni Maria Sacco esittivät hyökkäyksen Needham-Schroeder-protokollaa vastaan ja ehdottivat omaa muutostaan protokollaan, joka perustui aikamerkkien käyttöön [2] .

Symmetrinen avain Denning-Sacco-protokolla

Symmetrisessä salauksessa oletetaan, että asiakkaalle kuuluva salainen avain on vain hänen ja jonkun kolmannen luotettavan osapuolen – todennuspalvelimen – tiedossa . Protokollan suorittamisen aikana asiakkaat (Alice, Bob) saavat todennuspalvelimelta (Trent) uuden salaisen istuntoavaimen nykyisen viestintäistunnon keskinäisten viestien salaamiseksi. Harkitse Denning-Sacco-protokollan toteuttamista symmetrisellä avaimella [3] :

$Alice\vasemmalle\{A,B\oikealle\}\Trentille$
$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\oikea\}_{K_{B}}\oikea\}_{K_{ A}}\liisalle$
$Liisa\vasemmalle\{A,K,T_{T}\oikealle\}_{K_{B}}\Bobille$

Kuvaus

Ensimmäinen viesti Alicelta Trentille sisältää tulevan vaihdon osallistujien - Alice ja Bob - tunnisteet. Tämä viesti lähetetään selkeänä tekstinä:

$Alice\vasemmalle\{A,B\oikealle\}\Trentille$

Trent luo istuntoavaimen ja lähettää Alicelle salatun viestin, joka sisältää Bobin tunnuksen, istuntoavaimen, aikaleiman ja paketin , joka toimii Alicen varmenteena: $K$ $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\oikea\}_{K_{B}}\oikea\}_{K_{ A}}\liisalle$

Alice purkaa Trentin viestin salauksen ja lähettää todistuksensa Bobille : $\left\{A,K,T_{T}\right\}_{K_{B}}$

$Liisa\vasemmalle\{A,K,T_{T}\oikealle\}_{K_{B}}\Bobille$

Protokollan lopussa Alicella ja Bobilla on jaettu istuntoavain . $K$

Alice ja Bob voivat varmistaa, että heidän vastaanottamansa viestit ovat kelvollisia tarkistamalla aikaleimat . $T_{T}$

Protokollahyökkäys

Vuonna 1997 Gavin Lowe esitti hyökkäyksen protokollaa vastaan [4] :

Alice ja Bob lopettavat protokollaistunnon, jonka seurauksena osapuolille luodaan istuntoavain : $K$

yksi.

Alice\vasemmalle\{A,B\oikealle\}\Trentille

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\oikea\}_{K_{B}}\oikea\}_{K_{ A}}\liisalle

Liisa\vasemmalle\{A,K,T_{T}\oikealle\}_{K_{B}}\Bobille

Hyökkääjä toistaa sitten Alicen viimeisen viestin:

neljä.

Hyökkääjä\vasemmalle\{A,K,T_{T}\oikealle\}_{K_{B}}\Bobille

Hyökkääjän toimet saavat Bobin päättämään, että Alice haluaa luoda uuden yhteyden hänen kanssaan.

Protokollan muutos

Samassa työssä Low ehdotti protokollamuutosta, joka mahdollistaa Alicen todennuksen Bobille [4] :

Ensin Alice ja Bob toistavat koko protokollaistunnon:

yksi.

Alice\vasemmalle\{A,B\oikealle\}\Trentille

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\oikea\}_{K_{B}}\oikea\}_{K_{ A}}\liisalle

Liisa\vasemmalle\{A,K,T_{T}\oikealle\}_{K_{B}}\Bobille

Sitten Bob luo satunnaisluvun, salaa sen istuntoavaimella ja lähettää sen Alicelle: $K$

neljä.

Bob\vasemmalle\{R_{B}\oikealle\}_{K}\Liisalle

Alice purkaa Bobin viestin, lisää siihen 1:n , salaa tuloksen istuntoavaimella ja lähettää Bobille: $R_{B}$ $K$

Liisa\vasemmalle\{R_{B}+1\oikealle\}_{K}\Bobille

Kun Bob purkaa Alicen viestin salauksen, hän voi varmistaa, että Alice omistaa istuntoavaimen .

K

Protokollan puitteissa Bob ei vahvista millään tavalla uuden istuntoavaimen vastaanottamista ja kykyä toimia sen kanssa. Hyökkääjä on voinut siepata tai muuttaa viestin Alicelta viidennellä siirrolla. Mutta Alice ei enää odota vastausta Bobilta ja on varma, että protokolla on suoritettu onnistuneesti. $K$

Denning-Sacco Public Key Protocol

Denning-Sacco-protokollan epäsymmetrinen versio . Todennuspalvelin omistaa kaikkien asiakkaiden julkiset avaimet. Harkitse Denning-Sacco-protokollan toteuttamista julkisella avaimella [5] :

$Alice\vasemmalle\{A,B\oikealle\}\Trentille$
$Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \oikea)\oikea\}\liisalle$
$Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\oikea),S_{T}\vasen(B,K_{B},T_{T}\oikea)\oikea\}\Bobiin$

Kuvaus

Ensimmäinen viesti Alicelta Trentille sisältää tulevan vaihdon osallistujien - Alice ja Bob - tunnisteet. Tämä viesti lähetetään selkeänä tekstinä:

Alice\vasemmalle\{A,B\oikealle\}\Trentille

Vastauksena Trent lähettää Alicelle Alicen ja Bobin allekirjoitetut julkisen avaimen sertifikaatit. Lisäksi jokaiseen varmenteeseen lisätään aikaleimat:

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \oikea)\oikea\}\liisalle

Alice luo uuden istuntoavaimen ja lähettää sen Bobille yhdessä aikaleiman kanssa , allekirjoittaa sen avaimellaan ja salaa sen Bobin julkisella avaimella sekä molemmat Trentiltä saadut viestit: $K$ $T_{A}$

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\oikea),S_{T}\vasen(B,K_{B},T_{T}\oikea)\oikea\}\Bobiin

Bob tarkistaa varmenteen varmentajan allekirjoituksen , purkaa istuntoavaimen salauksen ja varmistaa Alicen allekirjoituksen. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Protokollahyökkäys

Abadi ja Needham kuvailivat hyökkäystä protokollaa vastaan [6] , jossa Bob, saatuaan viestin Alicelta, voi esiintyä hänenä istunnossa toisen käyttäjän kanssa. Bobin tunnisteen puuttuminen Alice-viestistä johtaa siihen, että Bob voi käyttää Alicelta saatuja tietoja esiintyäkseen Alicena uudessa istunnossa kolmannen osapuolen (Clara) kanssa. $E_{K_{B}}\left(S_{A}\left(K,T_{A}\right)\right)$

Ensin Alice ja Bob suorittavat vakioprotokollaistunnon luomalla uuden istuntoavaimen : $K$

yksi.

Alice\vasemmalle\{A,B\oikealle\}\Trentille

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T} \oikea)\oikea\}\liisalle

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\oikea),S_{T}\vasen(B,K_{B},T_{T}\oikea)\oikea\}\Bobiin

Bob aloittaa sitten uuden istunnon Claran kanssa ja noudattaa protokollaa:

neljä.

Bob\to \left\{B,C\right\}\to Trent

Trent\to \left\{S_{T}\left(B,K_{B},T_{T}\right),S_{T}\left(C,K_{C},T_{T} \oikea)\oikea\}\Bobille

Protokollan viimeisessä vaiheessa Bob toistaa viestejä , jotka on vastaanotettu Alicelta istunnossa Claran kanssa : $S_{A}\left(K,T_{A}\right)$ $S_{T}\left(A,K_{A},T_{T}\right)$

Bob\to \left\{E_{C}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A} ,T_{T}\oikea),S_{T}\vasen(C,K_{C},T_{T}\oikea)\oikea\}\Claralle

Clara vahvistaa onnistuneesti varmenteen varmentajan allekirjoituksen , purkaa istuntoavaimen salauksen ja vahvistaa Alicen allekirjoituksen. Tämän seurauksena Clara on varma, että hän on aloittanut viestintäistunnon Alicen kanssa, koska kaikki protokollan tarvittavat vaiheet suoritettiin oikein ja kaikki viestit olivat oikein. $S_{T}\left(A,K_{A},T_{T}\right)$ $K$

Muistiinpanot

↑ Davydov A. N. Hyökkäykset keskeisiä perustamisprotokollia vastaan // Tietotekniikan turvallisuus: tieteellisen ja teknisen konferenssin julkaisut / toim. Volchikhina V. I., Zefirova S. L. - Penza: Publishing House of the Penza Research Electrotechnical Institute, 2004. - Joulukuu ( osa 5 ). - S. 99-104 . Arkistoitu alkuperäisestä 19. elokuuta 2019. (Venäjän kieli)
↑ Denning, Sacco, 1981 .
↑ Mao, 2005 , s. 79.
↑ 1 2 Lowe, 1997 , Denning-Sacco jaettu avainprotokolla, s. 4-5.
↑ Mao, 2005 , s. 429.
↑ Abadi, Needham, 1996 .

Kirjallisuus

Dorothy E. Denning, Giovanni Maria Sacco. Aikaleimat avainjakeluprotokollassa // Commun . ACM. - New York, NY, USA: ACM, 1981. - Voi. 24 , iss. elokuu 1981 , no. 8 . - s. 533-536 . — ISSN 0001-0782 . - doi : 10.1145/358722.358740 .
Gavin Lowe. Hyökkäysten perhe todennusprotokollia vastaan . - Matematiikan ja tietojenkäsittelytieteen laitos, 1997.
M. Abadi, R. Needham. Prudent Engineering Practice for Cryptographic Protocols // IEEE Transactions on Software Engineering. - 1996. - tammikuu ( osa 22 , nro 1 ) .
Schneier B. Sovellettu kryptografia. Protokollat, algoritmit, lähdekoodi C-kielellä = Applied Cryptography. Protokollat, algoritmit ja lähdekoodi julkaisussa C. - M. : Triumph, 2002. - 816 s. - 3000 kappaletta. - ISBN 5-89392-055-4 .
Wenbo Mao. Moderni kryptografia: teoria ja käytäntö = Modern Cryptography: Theory and Practice. - Williams Publishing House, 2005. - ISBN 5-8459-0847-7 .

Todennus- ja avaintenvaihtoprotokollat
Symmetrisillä algoritmeilla	Leveä suu sammakko Yahalom Needham-Schroeder-protokolla Otway-Risa pöytäkirja Kerberos Newman-Stubblebine-protokolla
Symmetrisillä ja epäsymmetrisillä algoritmeilla	DASS Denning-Saccon pöytäkirja Wu Lamin pöytäkirja SPKM
Internetissä käytetyt protokollat ja palvelut	OAuth Avaa tunnus Windows Live ID