Protocolo de Needham-Schroeder

Notaciones criptográficas utilizadas en protocolos de autenticación e intercambio de claves

$A$	Identificadores de Alice ( Alice ), la iniciadora de la sesión
$B$	Identificador de Bob ( Bob ), el lado desde el que se establece la sesión
$T$	Identificador de Trent ( Trent ), una parte intermediaria de confianza
$K_{A},K_{B},K_{T}$	Las claves públicas de Alice, Bob y Trent
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Claves secretas de Alice, Bob y Trent
$E_{A},\izquierda\{...\derecha\}_{K_{A}}$	Cifrado de datos con la clave de Alice o la clave conjunta de Alice y Trent
$E_{B},\izquierda\{...\derecha\}_{K_{B}}$	Cifrado de datos con la clave de Bob o la clave conjunta de Bob y Trent
$\izquierda\{...\derecha\}_{K_{B}^{-1}},\izquierda\{...\derecha\}_{K_{A}^{-1}}$	Cifrado de datos con claves secretas de Alice, Bob (firma digital)
$yo$	Número de secuencia de la sesión (para evitar ataques de reproducción)
$k$	Clave de sesión aleatoria que se utilizará para el cifrado de datos simétrico
$E_{K},\izquierda\{...\derecha\}_{K}$	Cifrado de datos con una clave de sesión temporal
$T_{A},T_{B}$	Marcas de tiempo añadidas a los mensajes por Alice y Bob respectivamente
$R_{A},R_{B}$	Números aleatorios ( nonce ) que fueron elegidos por Alice y Bob respectivamente

El protocolo Needham-Schroeder es un nombre común para la autenticación simétrica y asimétrica y los protocolos de intercambio de claves. Ambos protocolos fueron propuestos por Michael Schroeder y Roger Needham [1] . Una variante basada en el cifrado simétrico utiliza una parte de confianza intermedia. Este protocolo se convirtió en la base de toda una clase de tales protocolos. Por ejemplo, Kerberos es una de las opciones para el protocolo simétrico Needham-Schroeder. Una variante basada en el cifrado asimétrico está diseñada para la autenticación mutua de las partes. En su forma original, ambas versiones del protocolo son vulnerables [2] [3] .

Historia

Michael Schroeder y Roger Needham formularon en 1978 un protocolo para la autenticación de claves simétricas, quizás el protocolo de autenticación y establecimiento de claves más famoso [1] . Sin embargo, es vulnerable a un ataque inventado por Dorothy E. Denning y Giovanni Maria Sacco en 1981 [ 2] . A pesar de esto, se convirtió en la base de toda una clase de tales protocolos. En particular, el protocolo Kerberos es una de las variantes del protocolo de autenticación Needham-Schroeder basado en un tercero de confianza y sus modificaciones propuestas por Denning y Sacco [2] . El protocolo Needham-Schroeder para la autenticación de clave pública también es vulnerable. En 1995, Gavin Lowe describió un posible ataque al protocolo [3] .

Protocolo Needham-Schroeder para autenticación de clave simétrica

Con un esquema de cifrado de clave simétrica, se supone que la clave secreta es conocida tanto por el servidor de autenticación (Trent) como por ambos sujetos del intercambio : (Alice) y (Bob). Inicialmente, ambos sujetos tienen claves secretas: y , conocidas solo por ellos y por alguna parte de confianza: el servidor de autenticación. Durante la ejecución del protocolo, Alice y Bob reciben una nueva clave de sesión secreta del servidor para cifrar los mensajes mutuos en esta sesión de comunicación, es decir, solo Bob puede descifrar los mensajes de Alice a Bob, solo Alice puede descifrar los mensajes de Bob a Alice. . Además, los sujetos del intercambio deben estar seguros de que el mensaje entrante se envió exactamente a aquellos con quienes se debe realizar el intercambio. Bob debe estar seguro de que recibió el mensaje de Alice y viceversa. Esto también lo proporciona el protocolo. Suponga que Alice inicia el intercambio. Asumiremos que tienen un servidor de autenticación común. Considere la implementación del protocolo [4] : $T$ $A$ $B$ $K_{A}$ $K_{B}$

$Alice\a A,B,R_{A}\a Trent$
$Trent\a \left\{R_{A},B,K,\left\{K,A\right\}_{K_{B}}\right\}_{K_{A}}\a Alice$
$Alice\a \left\{K,A\right\}_{K_{B}}\a Bob$
$Bob\a \izquierda\{R_{B}\derecha\}_{K}\a Alice$
$Alicia\a\izquierda\{R_{B}-1\derecha\}_{K}\a Bob$

El intercambio comienza con Alice generando algún número aleatorio (identificador) que se usa una vez. El primer mensaje de Alice a Trent contiene los nombres de los participantes en el próximo intercambio y un número aleatorio generado por Alice: $REAL ACADEMIA DE BELLAS ARTES}$

Alice\a A,B,R_{A}\a Trent

Este mensaje se envía en texto sin cifrar, pero se puede cifrar con la clave de Alice : $K_{A}$

Alice\a \left\{A,B,R_{A}\right\}_{K_{A}}\a Trent

Al recibir este mensaje, Trent recupera las claves privadas de Alice y Bob de la base de datos: y , y calcula una nueva clave de sesión . Trent luego le envía a Alice el siguiente mensaje: $K_{A}$ $K_{B}$ $k$

Trent\a \left\{R_{A},B,K,\left\{K,A\right\}_{K_{B}}\right\}_{K_{A}}\a Alice

Alice puede decodificar y leer el mensaje de Trent. Comprueba su identificación en el mensaje, lo que confirma que el mensaje es una respuesta a su primer mensaje a Trent. También comprueba el nombre del sujeto con el que va a intercambiar datos. Esta verificación es obligatoria, porque si este nombre no estuviera allí, el Intruso podría reemplazar el nombre de Bob con el suyo propio en el primer mensaje, y Alice, sin sospechar nada, interactuaría más con el Intruso. Alice no puede leer parte del mensaje porque esta parte está encriptada con la clave de Bob. Alice le envía a Bob un fragmento encriptado con su clave: $REAL ACADEMIA DE BELLAS ARTES}$

Alice\a \left\{K,A\right\}_{K_{B}}\a Bob

Solo Bob puede descifrarlo, ya que está encriptado con su clave privada. Después del descifrado, Bob también posee la clave de sesión . El nombre de Alice en el mensaje confirma el hecho de que el mensaje es de ella. Además, al intercambiar datos, se utilizará la clave de sesión. Para hacer que el esquema sea simétrico y reducir la posibilidad de un ataque de repetición , Bob genera un número aleatorio (ID de Bob) y envía a Alice el siguiente mensaje, encriptado con la clave de sesión: $k$ $R_{B}$

Bob\a \izquierda\{R_{B}\derecha\}_{K}\a Alice

Alice lo descifra y envía la respuesta que espera Bob, también encriptada con la clave de sesión:

Alicia\a\izquierda\{R_{B}-1\derecha\}_{K}\a Bob

Para los socios que interactúan regularmente, puede reducir la cantidad de mensajes a tres eliminando los dos primeros. En este caso, la tecla se usará repetidamente [5] .

Un ataque al protocolo Needham-Schroeder para la autenticación de claves simétricas

El protocolo Needham-Schroeder es vulnerable a un ataque de retransmisión de mensajes inventado por Dorothy E. Denning y Giovanni Maria Sacco en 1981 [ 2] . Durante el ataque, el atacante intercepta y reemplaza los mensajes de los párrafos 3,4,5 del protocolo. El atacante intercepta el mensaje de Alice a Bob en el tercer paso del protocolo y bloquea a Alice. Luego reemplaza el mensaje actual de Alice con otro de la sesión anterior entre Alice y Bob. Basándose en la suposición de que la clave de sesión anterior es vulnerable, un atacante puede averiguar su valor y comenzar a intercambiar datos con Bob bajo la apariencia de Alice [4] .

Como resultado, Bob piensa que tiene una nueva clave de sesión con Alice, pero en realidad la clave es antigua y conocida por el atacante.

Considere una posible implementación del ataque:

El intercambio comienza de la misma manera que en el protocolo. Alice genera un número aleatorio y se lo envía a Trent. Trent recupera las claves secretas de Alice y Bob de la base de datos, calcula una nueva clave de sesión y envía una respuesta a Alice. Alicia descifra el mensaje, comprueba el número aleatorio y el nombre del sujeto con el que va a intercambiar datos. Envía un mensaje a Bob. $k$

Alice\a A,B,R_{A}\a Trent

Trent\a \left\{R_{A},B,K,\left\{K,A\right\}_{K_{B}}\right\}_{K_{A}}\a Alice

Alice\a \left\{K,A\right\}_{K_{B}}\a Bob

Luego de eso, un atacante interviene en el protocolo. Primero, intercepta el mensaje de Alice a Bob, luego bloquea completamente el canal de comunicación de Alice. Si se supone que la clave de sesión anterior es vulnerable, un atacante puede averiguar su valor. Además del valor de la clave anterior, el atacante tiene el material de la sesión anterior entre Alice y Bob: , donde (clave anterior) es la clave anterior. Haciéndose pasar por Alice, le envía a Bob un mensaje con la clave anterior: $Alice\a \left\{K_{P},A\right\}_{K_{B}}\a Bob$ $K_{P}$

Alice(Atacante)\a \left\{K_{P},A\right\}_{K_{B}}\a Bob

Bob descifra el mensaje y se asegura de que sea de Alice, sin saber que ha sido atacado y ya se está comunicando con el Intruso. Le envía a "Alice" su número aleatorio:

Bob\to \left\{R_{B}\right\}_{K_{P}}\to Alice(Atacante)

El atacante, sabiendo el valor de la clave anterior, descifra el mensaje de Bob. Él, como se esperaba, reduce el número aleatorio de Bob en uno, cifra el resultado con la misma clave de sesión anterior y envía un mensaje a Bob:

Alice(Atacante)\a \izquierda\{R_{B}-1\derecha\}_{K_{P}}\a Bob

Como resultado, Bob está seguro de haber establecido una sesión de comunicación con Alice, ya que todos los pasos necesarios del protocolo se realizaron correctamente y todos los mensajes resultaron ser correctos.

Este ataque da lugar a un peligro más grave: la falta de una conexión real entre los socios. El atacante no tiene que esperar a que Alice inicie el protocolo. Dado que conoce la clave de sesión anterior , puede iniciar el ataque él mismo iniciando el protocolo desde el paso 3. Bob pensará que se puso en contacto con Alice, mientras que Alice no contactó en absoluto [6] . $K_{P}$

Corrección de vulnerabilidad

Denning y Sacco propusieron el uso de marcas de tiempo en los mensajes para evitar ataques como el mencionado anteriormente [2] . Designemos tal etiqueta con una letra . Considere la opción para corregir la vulnerabilidad: $t$

$Alice\a A,B,R_{A}\a Trent$
$Trent\a \left\{R_{A},A,B,\left\{K\right\}_{K_{A}}\right\}_{K_{A}}$ , $\left\{t,A,B,\left\{K\right\}_{K_{B}}\right\}_{K_{B}}\a Alicia$
$Alice\a \left\{t,A,B,\left\{K\right\}_{K_{B}}\right\}_{K_{B}}\a Bob$
$Bob\a \izquierda\{R_{B}\derecha\}_{K}\a Alice$
$Alicia\a\izquierda\{R_{B}-1\derecha\}_{K}\a Bob$

Después de recibir mensajes de protocolo de Trent, Alice y Bob pueden encontrar que sus mensajes no han sido respondidos al verificar la desigualdad:

t_{actual}-t<\Delta t_{1}+\Delta t_{2}

donde (hora actual) es la hora local actual del destinatario; es un intervalo que representa la diferencia permitida entre la hora de Trento y la hora local; es el retraso de tiempo esperado. Desde aquí están convencidos de la "frescura" de los mensajes y en especial de la clave de sesión. Dado que la marca de tiempo está encriptada con las claves secretas de Alice y Bob, la imitación de Trent es imposible en un esquema de encriptación ideal [7] . $t_{{curr}}$ $\Delta t_{{1}}$ $\Delta t_{{2}}$

También en esta especificación de protocolo revisada , se destaca explícitamente la necesidad de proteger la integridad de los datos . Si los mensajes intercambiados entre los participantes del protocolo no se distorsionaron durante la transmisión, luego del procedimiento de verificación , ambas partes pueden estar seguras de que la clave de sesión es consistente tanto con los usuarios como con el identificador de "frescura". Esto debería convencerlos de que cada uno es auténtico y que la clave de sesión anterior no se está utilizando [8] .

El caso de diferentes servidores de autenticación

En la vida real, Alice y Bob pueden estar lo suficientemente separados como para que no haya un servidor de autenticación común [5] . Por eso, en general, Alice puede tener su propio servidor de autenticación: , y Bob el suyo: . Ya que en este caso, Alice también se enfrenta a la tarea de construir un mensaje de la forma para Bob . Ambos servidores estarán involucrados en su formación, ya que solo puede cifrar con la clave de Alice y solo puede usar la clave de Bob: . Al mismo tiempo, se supone que debe garantizarse la seguridad del intercambio entre servidores. Considere un ejemplo para el caso de dos servidores diferentes que tienen una conexión entre sí: $EJÉRCITO DE RESERVA}$ $TUBERCULOSIS}$ $\izquierda\{K,A\derecha\}_{K_{B}}$ $EJÉRCITO DE RESERVA}$ $K_{A}$ $TUBERCULOSIS}$ $K_{B}$

$Alicia\a A,B,R_{A}\a Trent_{A}$
$Trent_{A}\a A,B,R_{A},K\a Trent_{B}$
$Trent_{B}\a A,R_{A},\left\{K,A\right\}_{K_{B}}\a Trent_{A}$
$Trent_{A}\to \left\{R_{A},B,K,\left\{K,A\right\}_{K_{B}}\right\}_{K_{A}}\to Alicia$
$Alice\a \left\{K,A\right\}_{K_{B}}\a Bob$
$Bob\a \izquierda\{R_{B}\derecha\}_{K}\a Alice$
$Alicia\a\izquierda\{R_{B}-1\derecha\}_{K}\a Bob$

Los pasos 1, 4-7 corresponden a los pasos 1-5 del caso anterior del servidor de autenticación común. En el segundo paso, el servidor de Alice, al no encontrar a Bob en la lista de sus clientes, contacta al servidor de Bob. Conoce la clave de Bob y puede realizar el cifrado necesario. Después de eso, la información cifrada se envía de vuelta al servidor de autenticación de Alice, que la envía a Alice [5] .

Protocolo de autenticación de entidad

El mecanismo de "respuesta-revocación" [9] del protocolo proporciona la llamada autenticación de entidad [ISO 1] . La autenticación de una entidad se realiza mediante la verificación por parte del usuario verificador de alguna operación criptográfica. Demuestra la existencia de un usuario probador, que se considera confirmado si el usuario probador ha realizado alguna operación criptográfica posterior al evento que otro usuario considera la última.

En la segunda etapa del protocolo Needham-Schroeder, Alice descifra el número aleatorio único que ella misma generó en la primera etapa. Esto confirma el hecho de que Trent realizó el cifrado después de recibir el mensaje de Alice. Como resultado, Alice sabe que Trent existió después de este evento, es decir, Trent pasó la autenticación de existencia en relación con Alice. Al mismo tiempo, Bob, participando en el mismo protocolo, no puede estar seguro de la existencia de Trent [7] .

Protocolo Needham-Schroeder para autenticación de clave pública

Criptosistemas de clave pública

Introduzcamos la notación:

$K_{A}$ - Clave pública de Alicia ;
$K_{{A}}^{{-1}}$ La clave privada de Alicia .

Además, solo Alice conoce la clave secreta, y los demás conocen la clave pública.

$METRO$ — texto sin formato ;
$\izquierda\{M\derecha\}_{K_{A}}$ - el texto está encriptado con la clave pública de Alice y solo Alice puede descifrarlo usando su clave privada;
$\izquierda\{M\derecha\}_{{K_{{A}}^{{-1}}}}$ — el texto se cifra con la clave privada de Alice y se puede descifrar con la clave pública de Alice.

Esto significa que se garantiza que Alice creará el texto con un cifrado perfecto, porque solo ella posee esta clave secreta. Es por eso que el texto cifrado se denomina firma de mensaje digital . Su descifrado utilizando la clave pública se denomina verificación de la firma de Alice [10] . $\izquierda\{M\derecha\}_{{K_{{A}}^{{-1}}}}$ $\izquierda\{M\derecha\}_{{K_{{A}}^{{-1}}}}$ $METRO$

Protocolo Needham-Schroeder para autenticación de clave pública

Una variante asimétrica (esquema de dos claves) del protocolo Needham-Schroeder. Trent posee las claves públicas de todos los clientes a los que atiende. Alice tiene una clave pública y una clave privada , Bob tiene ambas , Trent tiene y . Deje que Alice inicie una nueva sesión con Bob [11] : $K_{A}$ $K_{{A}}^{{-1}}$ $K_{B}$ $K_{{B}}^{{-1}}$ $K_{T}$ $K_{{T}}^{{-1}}$

$Alice\a A,B\a Trent$
$Trent\a {\left\{K_{B},B\right\}}_{K_{T}^{-1}}\a Alice$
$Alice\a T,\left\{R_{A},A\right\}_{K_{B}}\a Bob$
$Bob\a B,A\a Trent$
$Trent\a \left\{K_{A},A\right\}_{K_{T}^{-1}}\a Bob$
$Bob\a \izquierda\{R_{A},R_{B}\derecha\}_{K_{A}}\a Alice$
$Alicia\a \izquierda\{R_{B}\derecha\}_{K_{B}}\a Bob$

Alice, la iniciadora del protocolo, le pide a Trent la clave pública de Bob en el primer mensaje:

Alice\a A,B\a Trent

A lo que Trent, en la segunda etapa del protocolo, responde con un mensaje con la clave pública de Bob y su nombre. El mensaje está encriptado con la clave privada de Trent , es decir, es su firma digital . Esta firma debería convencer a Alice de que recibió el mensaje de Trent. Se supone que Alice conoce la clave pública de Trent y puede descifrar el mensaje, es decir, verificar la firma.

Trent\a {\left\{K_{B},B\right\}}_{K_{T}^{-1}}\a Alice

A continuación, Alice genera un número aleatorio y se lo envía a Bob junto con su nombre, habiéndolo cifrado previamente con la clave pública de Bob. $REAL ACADEMIA DE BELLAS ARTES}$

Alice\a T,\left\{R_{A},A\right\}_{K_{B}}\a Bob

Solo Bob puede descifrar este mensaje, ya que requiere su clave privada . Por el mensaje, se entera de que Alice quiere comenzar a intercambiar datos con él. Por lo tanto, Bob necesita la clave pública de Alice y realiza las mismas operaciones que hizo Alice: $K_{{B}}^{{-1}}$

Bob\a B,A\a Trent

Trent\a \left\{K_{A},A\right\}_{K_{T}^{-1}}\a Bob

Como resultado, los participantes del intercambio conocen las claves públicas de los demás. Después de eso, la autenticación mutua se realiza utilizando números aleatorios generados :

Bob\a \izquierda\{R_{A},R_{B}\derecha\}_{K_{A}}\a Alice

Alicia\a \izquierda\{R_{B}\derecha\}_{K_{B}}\a Bob

Needham y Schroeder sugirieron usar números para inicializar la clave secreta compartida [1] , que proporciona una conexión secreta entre Alice y Bob. Denning y Sacco señalaron más tarde que este protocolo no garantiza que las claves públicas sean nuevas y no duplicadas de las antiguas. Este problema se puede resolver de varias formas, en particular, mediante el uso de marcas de tiempo [2] en mensajes con claves. Needham y Schroeder también consideraron el uso de sellos de tiempo, pero rechazaron esta idea debido a la falta de un estándar de tiempo cualitativo [12] . $REAL ACADEMIA DE BELLAS ARTES}$ $R_{B}$

Un ataque al protocolo Needham-Schroeder para la autenticación de clave pública

Gavin Lowe [3 ] propuso un ataque al protocolo . Dividió el protocolo en dos partes que no estaban relacionadas lógicamente. Primero: 1, 2, 4, 5 etapas del protocolo: obtención de una clave pública. Segundo: 3, 6, 7 etapas: autenticación de Alice y Bob. Supondremos que ha tenido lugar la primera parte y consideraremos la segunda:

Alice\a T,\left\{R_{A},A\right\}_{K_{B}}\a Bob

Bob\a \izquierda\{R_{A},R_{B}\derecha\}_{K_{A}}\a Alice

Alicia\a \izquierda\{R_{B}\derecha\}_{K_{B}}\a Bob

Deje que el atacante sea una persona que sea un usuario legítimo del sistema . Puede realizar sesiones de comunicación estándar con otros usuarios del sistema. Para el ataque se utiliza el lanzamiento simultáneo de dos protocolos: en el primero, Alice realiza una sesión correcta con el Atacante, en el segundo, el Atacante se hace pasar por Alice cuando se comunica con Bob [13] .

1.3.

Alice\to T,\left\{R_{A},A\right\}_{K_{At}}\to Atacante

2.3.

Atacante(Alice)\a T,\left\{R_{A},A\right\}_{K_{B}}\a Bob

2.6.

Bob\a \izquierda\{R_{A},R_{B}\derecha\}_{K_{A}}\a Atacante (Alice)

1.6.

Atacante\hacia \left\{R_{A},R_{B}\right\}_{K_{A}}\hacia Alice

1.7.

Alice\to \left\{R_{B}\right\}_{K_{At}}\to Atacante

2.7.

Atacante(Alice)\a \izquierda\{R_{B}\derecha\}_{K_{B}}\a Bob

En el paso 1.3, Alice envía un número aleatorio al atacante, que el atacante envía inmediatamente a Bob en la etapa 2.3 de otro protocolo. Bob recibe este mensaje y en el paso 2.6 genera su propio número aleatorio y responde lo que cree que es Alice. El atacante no puede descifrar este mensaje, por lo que se lo envía a Alice en el paso 1.6. Alice recibe un mensaje no sospechoso, lo descifra y devuelve el número aleatorio de Bob al atacante en el paso 1.7 cifrando el mensaje con la clave pública del atacante. Ahora el Atacante conoce el número aleatorio de Bob y puede responderle en el paso 2.7. Bob está seguro de que estableció una sesión de comunicación con Alice, porque encriptó el mensaje con un número aleatorio con su clave y recibió la respuesta correcta. $REAL ACADEMIA DE BELLAS ARTES}$

El punto clave del ataque es que el atacante puede obligar a Alice a descifrar el número aleatorio de Bob por él. Alice en este ataque actúa como un oráculo , un usuario del sistema que realiza alguna operación criptográfica en interés del atacante [14] .

Un ejemplo de consecuencias

Considere un ejemplo de las consecuencias de este ataque. Deja que Bob sea un banco. Luego, el atacante, haciéndose pasar por Alice, puede usar su cuenta y transferir dinero de ella a la suya. El banco estará seguro de que la operación fue realizada por Alice [14] .

Corrección de protocolo simple

Para evitar el ataque descrito anteriormente, en el sexto paso, agregue el nombre del respondedor al mensaje:

2.6.

Bob\to \left\{B,R_{A},R_{B}\right\}_{K_{A}}\to Attacker(Alice)

En este caso, el Atacante no podrá reenviar el mensaje a Alice, ya que Alice esperará el siguiente mensaje de él, respectivamente:

1.6.

Atacante\a \left\{At,R_{A},R_{B}\right\}_{K_{A}}\a Alice

que el atacante no puede obtener ni reenviando los mensajes de Bob ni por su cuenta [14] .

Corrección de vulnerabilidad

Primera opción 3.

Alice\a \left\{\left\{R_{A},A\right\}_{K_{A}^{-1}}\right\}_{K_{B}}\a Bob

Bob\a \left\{R_{A},\left\{R_{B}\right\}_{K_{B}^{-1}}\right\}_{K_{A}}\a Alice

Alice\a \left\{\left\{R_{B}\right\}_{K_{A}^{-1}}\right\}_{K_{B}}\a Bob

En la especificación revisada , este es un mensaje que debe verificarse utilizando la clave pública de Alice, es decir, es la firma de Alice . En esta especificación, los números aleatorios primero se firman y luego se cifran con la clave pública de otro usuario. Debido a que Bob firma su número en el paso 6, el ataque de Low se vuelve imposible. Si el atacante reenvía el mensaje a Alice, notará un error de verificación [15] . $\izquierda\{R_{A},A\derecha\}_{K_{A}^{-1}}$

Segunda opción

Usando el método "cifrar y firmar", puede refinarlo de la siguiente manera:

Alice\a \left\{\left\{R_{A}\right\}_{K_{B)),A\right\}_{K_{A}^{-1}}\a Bob

Bob\a \left\{\left\{R_{A},R_{B}\right\}_{K_{A}}\right\}_{K_{B}^{-1}}\a Alice

Alice\a \left\{\left\{R_{B}\right\}_{K_{B}}\right\}_{K_{A}^{-1}}\a Bob

Ahora el atacante ni siquiera puede iniciar el protocolo de comunicación con Bob en nombre de otra persona [15] .

Uso práctico

El protocolo Kerberos está diseñado para resolver el problema de la autenticación de usuarios de red . Su idea principal es utilizar un tercero de confianza que otorgue al usuario acceso al servidor utilizando una clave de sesión común compartida entre el usuario y el servidor. Este protocolo se basa en una variante del protocolo Needham-Schroeder que utiliza una marca de tiempo [16] [1] .

Notas

↑ 1 2 3 4 Needham, Schroeder, 1978 .
↑ 1 2 3 4 5 6 Denning, Sacco, 1981 .
↑ 1 2 3 Lowe, 1995 .
↑ 12 Mao , 2005 , pág. 76.
↑ 1 2 3 Semenov Yu.A. .
↑ Mao, 2005 , pág. 77.
↑ 12 Mao , 2005 , pág. 79.
↑ Mao, 2005 , pág. 641.
↑ Mao, 2005 , pág. 75.
↑ Mao, 2005 , pág. 80.
↑ Mao, 2005 , pág. 81.
↑ Needham, Schroeder, 1987 .
↑ Mao, 2005 , pág. 83.
↑ 1 2 3 Mao, 2005 , pág. 84.
↑ 12 Mao , 2005 , pág. 643.
↑ Mao, 2005 , pág. 462.

Estándares

↑ ISO 9798-2: Tecnología de la información - Técnicas de seguridad - Mecanismos de autenticación de entidades - Parte 2: Autenticación de entidades mediante técnicas simétricas.

Literatura

Roger M. Needham, Michael D. Schroeder. Uso de encriptación para autenticación en grandes redes de computadoras // Commun . ACM. - Nueva York, NY, EE. UU.: ACM, 1978. - vol. 21 , edición. 12 _ - Pág. 993-999 . — ISSN 0001-0782 . doi : 10.1145/ 359657.359659 .
Dorothy E. Denning, Giovanni María Sacco. Marcas de tiempo en protocolos de distribución de claves // Commun . ACM. - Nueva York, NY, EE. UU.: ACM, 1981. - Vol. 24 , edición. agosto de 1981 , n. 8 _ - Pág. 533-536 . — ISSN 0001-0782 . -doi : 10.1145/ 358722.358740 .
Roger M. Needham, Michael D. Schroeder. Autenticación revisada // SIGOPS Oper. sist. Rev.. - Nueva York, NY, EE. UU.: ACM, 1987. - Vol. 21 , edición. 1 . - Pág. 7-7 . — ISSN 0163-5980 . doi : 10.1145/ 24592.24593 .
Gavin Lowe. Un ataque al protocolo de autenticación de clave pública Needham-Schroeder // Cartas de procesamiento de información. - 1995. - vol. 56 , núm. 3 . - pág. 131-133 . — ISSN 0020-0190 . - doi : 10.1016/0020-0190(95)00144-2 .
Schneier B. Criptografía aplicada. Protocolos, algoritmos, código fuente en lenguaje C = Criptografía Aplicada. Protocolos, Algoritmos y Código Fuente en C. - M. : Triumph, 2002. - 816 p. - 3000 copias. - ISBN 5-89392-055-4 .
Wenbo Mao. Criptografía moderna: teoría y práctica = Criptografía moderna: teoría y práctica. - Editorial Williams, 2005. - ISBN 5-8459-0847-7 .
Semenov Yu.A. Protocolo de autenticación Needham-Schroeder en casos de sistemas de cifrado simétricos y asimétricos . Recuperado: 8 de diciembre de 2012. (Ruso)

Enlaces

Clave pública de Needham-Schroeder . Consultado el 2 de agosto de 2010. Archivado desde el original el 6 de diciembre de 2012.
Protocolo de clave simétrica . Consultado el 17 de noviembre de 2012. Archivado desde el original el 6 de diciembre de 2012.
El protocolo de clave pública modificado por Lowe . Consultado el 17 de noviembre de 2012. Archivado desde el original el 6 de diciembre de 2012.

Protocolos de autenticación e intercambio de claves
Con algoritmos simétricos	Rana de boca ancha Yahalom Protocolo de Needham-Schroeder Protocolo Otway-Risa Kerberos Protocolo Newman-Stubblebine
Con algoritmos simétricos y asimétricos	DASS Protocolo Denning-Sacco Protocolo Wu Lam SPKM
Protocolos y servicios utilizados en Internet	OAuth identificación abierta Identificación de Windows Live