Rana de boca ancha

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 17 de diciembre de 2021; la verificación requiere 1 edición . Notaciones criptográficas utilizadas en protocolos de autenticación e intercambio de claves

$A$	Identificadores de Alice ( Alice ), la iniciadora de la sesión
$B$	Identificador de Bob ( Bob ), el lado desde el que se establece la sesión
$T$	Identificador de Trent ( Trent ), una parte intermediaria de confianza
$K_{A},K_{B},K_{T}$	Las claves públicas de Alice, Bob y Trent
$K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Claves secretas de Alice, Bob y Trent
$E_{A},\izquierda\{...\derecha\}_{K_{A}}$	Cifrado de datos con la clave de Alice o la clave conjunta de Alice y Trent
$E_{B},\izquierda\{...\derecha\}_{K_{B}}$	Cifrado de datos con la clave de Bob o la clave conjunta de Bob y Trent
$\izquierda\{...\derecha\}_{K_{B}^{-1}},\izquierda\{...\derecha\}_{K_{A}^{-1}}$	Cifrado de datos con claves secretas de Alice, Bob (firma digital)
$yo$	Número de secuencia de la sesión (para evitar ataques de reproducción)
$k$	Clave de sesión aleatoria que se utilizará para el cifrado de datos simétrico
$E_{K},\izquierda\{...\derecha\}_{K}$	Cifrado de datos con una clave de sesión temporal
$T_{A},T_{B}$	Marcas de tiempo añadidas a los mensajes por Alice y Bob respectivamente
$R_{A},R_{B}$	Números aleatorios ( nonce ) que fueron elegidos por Alice y Bob respectivamente

Wide-Mouth Frog es quizás el protocolo más simple para el intercambio de claves simétricas utilizando un servidor confiable. (Alice) y (Bob) comparten una clave secreta con (Trent). En este protocolo, las claves se utilizan solo para su distribución y no para cifrar mensajes [1] . $A$ $B$ $T$

Historia

El protocolo se atribuye a Michael Burrows y se publicó por primera vez en Michael Burrows, Martin Abadi y Roger Needham. Una lógica de autenticación" [2] en 1989. En 1997 , Gavin Lowe ( científico informático) en su trabajo "A Family of Attacks upon Authentication Protocols" [3] propuso un protocolo Wide-Mouthed Frog modificado ( Lowe modified Wide-Mouthed frog protocol ), que corrige algunas vulnerabilidades.

Protocolo de la rana de boca ancha [4]

Para iniciar una sesión de mensajería, Alice cifra la concatenación de la marca de tiempo, la ID de Bob y una clave de sesión aleatoria generada. La clave de cifrado es una clave conocida por Alice y Trent, un servidor de confianza intermedio. Después de eso, Alice le da su nombre (en texto claro) y datos encriptados a Trent.

Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent

Trent descifra el paquete con la clave compartida con Alice, selecciona una clave de sesión aleatoria generada por Alice y concatena la nueva marca de tiempo, el identificador de Alice y la clave de sesión, luego lo cifra con la clave compartida con Bob y se la envía.

Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob

Después de eso, Bob descifra el paquete de datos con la clave compartida con Trent y puede usar la clave de sesión aleatoria generada por Alice para transferir los datos.

Ataques al Protocolo de la Rana de Boca Ancha

Ataque de 1995

En 1995, Ross Anderson y Roger Needham propusieron el siguiente algoritmo de ataque de protocolo :

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$I(Bob) \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Trent$
$Trent \to \left\{ E_A \left( T'_T, B, K \right) \right\} \to Alice$
$I(Alice) \to \left\{ A, E_A \left( T'_T, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T''_T, A, K \right) \right\} \to Bob$ ,

donde I(Alice) y I(Bob) son un atacante que imita a Alice y Bob, respectivamente.

La falla en el protocolo es que Trent actualiza su marca de tiempo a partir de la marca de tiempo de Alice . Es decir, siempre que Trent no mantenga una lista de todas las claves y etiquetas que funcionan, un atacante puede mantener las claves en funcionamiento utilizando Trent como predictor. $T_{T}$ $EJÉRCITO DE RESERVA}$

El efecto práctico de esta deficiencia dependerá de la aplicación. Por ejemplo, si los usuarios utilizan una tarjeta inteligente con este protocolo, que envía la clave de sesión en texto sin formato a la rutina de cifrado masivo del software , las claves pueden quedar expuestas a este ataque. Un atacante puede ver a Alice y Bob realizar sesiones y mantener las claves funcionando hasta que sea posible robar una tarjeta inteligente [5] .

Ataque de 1997

En 1997, Gavin Lowe propuso otro ataque a este protocolo, basado en que el atacante hace pensar a Bob que Alice ha establecido dos sesiones de intercambio, mientras que Alice establece una sesión. El ataque involucra dos pases de protocolo intercalados, que llamaremos y , denotaremos, por ejemplo, el segundo mensaje de sesión \alpha como Entonces el ataque se ve así: $\alfa$ $\beta$ $\alfa .2.$

$mensaje$ $\alfa .1.$ $Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$mensaje$ $\alfa .2.$ $Trent \to \left\{ B, E_B \left( T_T, A, K \right) \right\} \to Bob$
$mensaje$ $\beta .2.$ $I(Trent) \a \left\{ B, E_B \left( T_T, A, K \right) \right\} \a Bob$ ,

donde I(Trent) es un atacante que imita a Trent.

La sesión representa el curso normal del intercambio de claves cuando Alice establece una sesión con Bob usando la clave . Luego, en el mensaje , el atacante imita a Trent y repite el mensaje ; con lo cual Bob cree que Alice está tratando de iniciar una segunda sesión. $\alfa$ $k$ $\beta .2$ $\alfa .2$

Además, el atacante puede reproducir el mensaje a Trent como el mensaje de la próxima sesión. Esto hará que Bob reciba un segundo mensaje, con el mismo resultado que antes. $\alfa .1$

Esta vulnerabilidad se corrige mediante el protocolo de rana de boca ancha modificado ( protocolo de rana de boca ancha modificado por Lowe ) [3] .

Protocolo de rana de boca ancha modificado

Esta modificación fue propuesta por Gavin Lowe para eliminar la vulnerabilidad al ataque de 1997. Se parece a esto:

$Alice \to \left\{ A, E_A \left( T_A, B, K \right) \right\} \to Trent$
$Trent \to \left\{ E_B \left( T_T, A, K \right) \right\} \to Bob$
$Bob \a \left\{ R_B \right\}_K \a Alice$
$Alicia \a \izquierda\{ R_B +1\derecha\}_K \a Bob$

Estos cambios evitarán los ataques de 1997: Bob generará dos nonces diferentes, uno para cada sesión, y esperará como respuesta el mensaje 4. Al mismo tiempo, Alice devolverá solo uno de esos mensajes, y el atacante no podrá generar otro.

Desafortunadamente, esta modificación elimina la característica más atractiva del protocolo de rana de boca ancha: la simplicidad [3] .

Características

Requiere un contador global.
Trent tiene acceso a todas las llaves.
El valor de la clave de sesión está completamente determinado por Alice, es decir, debe ser lo suficientemente competente para generar buenas claves. $k$
Puede duplicar mensajes mientras la marca de tiempo está vigente.
Alice no sabe si Bob existe.
El protocolo es dinámico, lo que generalmente no es deseable ya que requiere más funcionalidad de Trent. Por ejemplo, Trent tiene que lidiar con la situación cuando Bob no está disponible.

Notas

↑ Pranav Vyas, Dra. Bhushan Trivedi, 2012 .
↑ M. Burrows, M. Abadi, R. Needham, 1989 .
↑ 1 2 3 Gavin Lowe, 1997 .
↑ Bruce Schneier, 2002 .
↑ Ross Anderson y Roger Needham .

Literatura

Bruce Schneier. Protocolo de rana de boca ancha // / Criptografía aplicada. - 2002. - ISBN 5-89392-055-4 .
M. Burrows, M. Abadi, R. Needham Una lógica de autenticación // Informe de investigación 39, Digital Equipment Corp. Centro de Investigación de Sistemas - feb. 1989
M. Burrows, M. Abadi, R. Needham Una lógica de autenticación // Transacciones ACM en sistemas informáticos, - v. 8 - n. 1 de febrero 1990 - págs. 18-36
Gavin Lowe Una familia de ataques a los protocolos de autenticación // Departamento de Matemáticas y Ciencias de la Computación, Informe técnico 1997/5, Universidad de Leicester, enero de 2010. 1997
Pranav Vyas, Dra. Bhushan Trivedi Un análisis de los protocolos de intercambio de claves de sesión // Revista internacional de investigación y aplicaciones de ingeniería vol. 2, Número 4, Junio-Julio 2012, pp.658-663
Ji Ma, Mehmet A. Orgun y Abdul Sattar Análisis de protocolos de autenticación en sistemas basados en agentes mediante tablas etiquetadas // TRANSACCIONES IEEE EN SISTEMAS, HOMBRE Y CIBERNÉTICA: PARTE B: CIBERNÉTICA, VOL. 39, núm. 4 de agosto de 2009
Protocolo de seguridad Repositorio abierto
Ross Anderson y Roger Needham programando la computadora de Satanás // Laboratorio de Computación de la Universidad de Cambridge Pembroke Street, Cambridge, Inglaterra CB2 3QG

Protocolos de autenticación e intercambio de claves
Con algoritmos simétricos	Rana de boca ancha Yahalom Protocolo de Needham-Schroeder Protocolo Otway-Risa Kerberos Protocolo Newman-Stubblebine
Con algoritmos simétricos y asimétricos	DASS Protocolo Denning-Sacco Protocolo Wu Lam SPKM
Protocolos y servicios utilizados en Internet	OAuth identificación abierta Identificación de Windows Live