Протокол Деннинг — Сакко

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами
A	Идентификаторы Алисы (Alice), инициатора сессии
B	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
T	Идентификатор Трента (Trent), доверенной промежуточной стороны
K A , K B , K T	Открытые ключи Алисы, Боба и Трента
K A − 1 , K B − 1 , K T − 1	Секретные ключи Алисы, Боба и Трента
E A , { . . . } K A	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
E B , { . . . } K B	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
{ . . . } K B − 1 , { . . . } K A − 1	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
I	Порядковый номер сессии (для предотвращения атаки с повтором)
K	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
E K , { . . . } K	Шифрование данных временным сеансовым ключом
T A , T B	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
R A , R B	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
K A , K B , K T	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
K p	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
S A , S B , S T , S K p	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
E K A , E K B , E K T , E K p	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол Деннинг — Сакко^[1] — общее название для симметричного и асимметричного протоколов распространения ключей с использованием доверенной стороны.

ИсторияПравить

В 1981 году сотрудники университета Пердью (англ. Purdue University) Дороти Деннинг (англ. Dorothy E. Denning) и Джованни Мария Сакко (англ. Giovanni Maria Sacco) представили атаку на протокол Нидхема — Шрёдера и предложили свою модификацию протокола, основанную на использовании временны́х меток^[2].

Протокол Деннинг — Сакко с симметричным ключомПравить

Взаимодействие участников в протоколе Деннинг — Сакко с симметричным ключом

При симметричном шифровании предполагается, что секретный ключ, принадлежащий клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В ходе выполнения протокола клиенты (Алиса, Боб) получают от сервера аутентификации (Трент) новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Рассмотрим реализацию протокола Деннинг — Сакко с симметричным ключом^[3]:

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,B\right\}\to Trent$
$\text{[math]}$ $\text{[math]}$ $Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice$
$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob$

ОписаниеПравить

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,B\right\}\to Trent$

Трент генерирует сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ и отправляет Алисе зашифрованное сообщение, которое включает в себя идентификатор Боба, сессионный ключ, метку времени и пакет $\text{[math]}$ $\text{[math]}$ $\left\{A,K,T_{T}\right\}_{K_{B}}$ , выполняющий роль сертификата Алисы:

$\text{[math]}$ $\text{[math]}$ $Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice$

Затем Алиса расшифровывает сообщение Трента и отправляет Бобу свой сертификат $\text{[math]}$ $\text{[math]}$ $\left\{A,K,T_{T}\right\}_{K_{B}}$ :

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob$

По окончании протокола у Алисы и Боба есть общий сеансовый ключ $\text{[math]}$ $\text{[math]}$ $K$ .

Алиса и Боб могут убедиться в том, что полученные ими сообщения валидные, с помощью проверки меток времени $\text{[math]}$ $\text{[math]}$ $T_{T}$ .

Атака на протоколПравить

В 1997 году Гэвин Лоу (англ. Gavin Lowe) представил атаку на протокол^[4]:

Алиса и Боб завершают сеанс протокола, в результате чего у сторон вырабатывается сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ :

1.

\text{[math]}

Alice\to \left\{A,B\right\}\to Trent

2.

\text{[math]}

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice

3.

\text{[math]}

Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Далее злоумышленник повторяет последнее сообщение Алисы:

4.

\text{[math]}

Attacker\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Действия злоумышленника приводят к тому, что Боб решает, будто Алиса хочет установить с ним новое соединение.

Модификация протоколаПравить

В той же работе Лоу предложил модификацию протокола, в которой обеспечивается аутентификация Алисы перед Бобом^[4]:

Сначала Алиса и Боб полностью повторяют сеанс протокола:

1.

\text{[math]}

Alice\to \left\{A,B\right\}\to Trent

2.

\text{[math]}

Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice

3.

\text{[math]}

Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob

Затем Боб генерирует случайное число, шифрует его на сессионном ключе $\text{[math]}$ $\text{[math]}$ $K$ и отправляет Алисе:

4.

\text{[math]}

Bob\to \left\{R_{B}\right\}_{K}\to Alice

Алиса расшифровывает сообщение Боба, прибавляет к $\text{[math]}$ $\text{[math]}$ $R_{B}$ единицу, шифрует полученный результат на сессионном ключе $\text{[math]}$ $\text{[math]}$ $K$ и отправляет Бобу:

5.

\text{[math]}

Alice\to \left\{R_{B}+1\right\}_{K}\to Bob

После того как Боб расшифрует сообщение Алисы, он сможет проверить факт владения Алисы сессионным ключом

\text{[math]}

K

.

В рамках протокола Боб никак не подтверждает получение нового сессионного ключа $\text{[math]}$ $\text{[math]}$ $K$ и возможность им оперировать. Сообщение от Алисы на 5-м проходе могло быть перехвачено или изменено злоумышленником. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

Протокол Деннинг — Сакко с открытым ключомПравить

Взаимодействие участников в протоколе Деннинг — Сакко с открытым ключом

Асимметричный вариант протокола Деннинг — Сакко. Сервер аутентификации владеет открытыми ключами всех клиентов. Рассмотрим реализацию протокола Деннинг — Сакко с открытым ключом^[5]:

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,B\right\}\to Trent$
$\text{[math]}$ $\text{[math]}$ $Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice$
$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob$

ОписаниеПравить

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

\text{[math]}

Alice\to \left\{A,B\right\}\to Trent

В ответ Трент отправляет Алисе подписанные сертификаты открытых ключей Алисы и Боба. Дополнительно в каждый сертификат добавляются временные метки:

\text{[math]}

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice

Алиса генерирует новый сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ и отправляет его Бобу вместе с меткой времени $\text{[math]}$ $\text{[math]}$ $T_{A}$ , подписав это своим ключом и зашифровав это открытым ключом Боба, вместе с обоими сообщениями, полученными от Трента:

\text{[math]}

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob

Боб проверяет подпись доверенного центра на сертификате $\text{[math]}$ $\text{[math]}$ $S_{T}\left(A,K_{A},T_{T}\right)$ , расшифровывает сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ и проверяет подпись Алисы.

Атака на протоколПравить

Абади и Нидхем описали атаку на протокол^[6], в ходе которой Боб, получив сообщение от Алисы, может выдать себя за неё в сеансе с другим пользователем. Отсутствие в сообщении от Алисы $\text{[math]}$ $\text{[math]}$ $E_{K_{B}}\left(S_{A}\left(K,T_{A}\right)\right)$ идентификатора Боба приводит к тому, что Боб может использовать принятые от Алисы данные для того, чтобы выдать себя за Алису в новом сеансе с третьей стороной (Кларой).

Сначала Алиса и Боб проводят стандартный сеанс протокола, выработав новый сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ :

1.

\text{[math]}

Alice\to \left\{A,B\right\}\to Trent

2.

\text{[math]}

Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice

3.

\text{[math]}

Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob

После этого Боб инициирует новый сеанс с Кларой и действует в рамках протокола:

4.

\text{[math]}

Bob\to \left\{B,C\right\}\to Trent

5.

\text{[math]}

Trent\to \left\{S_{T}\left(B,K_{B},T_{T}\right),S_{T}\left(C,K_{C},T_{T}\right)\right\}\to Bob

На последнем шаге протокола Боб воспроизводит в сеансе с Кларой сообщения $\text{[math]}$ $\text{[math]}$ $S_{A}\left(K,T_{A}\right)$ и $\text{[math]}$ $\text{[math]}$ $S_{T}\left(A,K_{A},T_{T}\right)$ , полученные от Алисы:

6.

\text{[math]}

Bob\to \left\{E_{C}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(C,K_{C},T_{T}\right)\right\}\to Clara

Клара успешно проверяет подпись доверенного центра на сертификате $\text{[math]}$ $\text{[math]}$ $S_{T}\left(A,K_{A},T_{T}\right)$ , расшифровывает сессионный ключ $\text{[math]}$ $\text{[math]}$ $K$ и проверяет подпись Алисы. В результате Клара уверена, что установила сеанс связи с Алисой, поскольку все необходимые шаги протокола были проделаны верно и все сообщения оказались корректны.

ПримечанияПравить

↑ Давыдов А. Н. Атаки на протоколы установления ключа (рус.) // Безопасность информационных технологий : Труды научно-технической конференции / под ред. Волчихина В. И., Зефирова С. Л. — Пенза: Изд-во Пензенского научно-исследовательского электротехнического института, 2004. — Декабрь (т. 5). — С. 99—104. Архивировано 19 августа 2019 года.
↑ Denning, Sacco, 1981.
↑ Мао, 2005, p. 79.
↑ ¹ ² Lowe, 1997, The Denning-Sacco shared key protocol, pp. 4—5.
↑ Мао, 2005, p. 429.
↑ Abadi, Needham, 1996.

ЛитератураПравить

Dorothy E. Denning, Giovanni Maria Sacco. Timestamps in key distribution protocols (англ.) // Commun. ACM. — New York, NY, USA: ACM, 1981. — Vol. 24, iss. Aug, 1981, no. 8. — P. 533—536. — ISSN 0001-0782. — doi:10.1145/358722.358740.
Gavin Lowe. A family of attacks upon authentication protocols (англ.). — Department of Mathematics and Computer Science, 1997.
M. Abadi, R. Needham. Prudent Engineering Practice for Cryptographic Protocols (англ.) // IEEE Transactions on software engineering. — 1996. — January (vol. 22, no. 1).
Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
Венбо Мао. Современная криптография: теория и практика = Modern Cryptography: Theory and Practice. — Издательский дом "Вильямс", 2005. — ISBN 5-8459-0847-7.

[1] Давыдов А. Н. Атаки на протоколы установления ключа (рус.) // Безопасность информационных технологий : Труды научно-технической конференции / под ред. Волчихина В. И., Зефирова С. Л. — Пенза: Изд-во Пензенского научно-исследовательского электротехнического института, 2004. — Декабрь (т. 5). — С. 99—104. Архивировано 19 августа 2019 года.

[_6c2c6b895acc5b2a-2] Denning, Sacco, 1981.

[_c86df92f9168f1ac-3] Мао, 2005, p. 79.

[_6d16f2fb91aa71eb-4] ¹ ² Lowe, 1997, The Denning-Sacco shared key protocol, pp. 4—5.

[_fbc5a0d4154988b3-5] Мао, 2005, p. 429.

[_c25676de1a6c479b-6] Abadi, Needham, 1996.

[1]

[2]

[3]

[4]

[5]

[6]

$\text{[math]}$ $\text{[math]}$ $A$ $A$	Идентификаторы Алисы (Alice), инициатора сессии
$\text{[math]}$ $\text{[math]}$ $B$ $B$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
$\text{[math]}$ $\text{[math]}$ $T$ $T$	Идентификатор Трента (Trent), доверенной промежуточной стороны
$\text{[math]}$ $\text{[math]}$ $K_{A},K_{B},K_{T}$ $K_{A},K_{B},K_{T}$	Открытые ключи Алисы, Боба и Трента
$\text{[math]}$ $\text{[math]}$ $K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$ $K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Секретные ключи Алисы, Боба и Трента
$\text{[math]}$ $\text{[math]}$ $E_{A},\left\{...\right\}_{K_{A}}$ $E_{A},\left\{...\right\}_{K_{A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$\text{[math]}$ $\text{[math]}$ $E_{B},\left\{...\right\}_{K_{B}}$ $E_{B},\left\{...\right\}_{K_{B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
$\text{[math]}$ $\text{[math]}$ $\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$ $\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
$\text{[math]}$ $\text{[math]}$ $I$ $I$	Порядковый номер сессии (для предотвращения атаки с повтором)
$\text{[math]}$ $\text{[math]}$ $K$ $K$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
$\text{[math]}$ $\text{[math]}$ $E_{K},\left\{...\right\}_{K}$ $E_{K},\left\{...\right\}_{K}$	Шифрование данных временным сеансовым ключом
$\text{[math]}$ $\text{[math]}$ $T_{A},T_{B}$ $T_{A},T_{B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
$\text{[math]}$ $\text{[math]}$ $R_{A},R_{B}$ $R_{A},R_{B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
$\text{[math]}$ $\text{[math]}$ $K_{A},K_{B},K_{T}$ $K_{A},K_{B},K_{T}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
$\text{[math]}$ $\text{[math]}$ $K_{p}$ $K_{p}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
$\text{[math]}$ $\text{[math]}$ $S_{A},S_{B},$ $S_{A},S_{B},$ $\text{[math]}$ $\text{[math]}$ $S_{T},S_{K_{p}}$ $S_{T},S_{K_{p}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
$\text{[math]}$ $\text{[math]}$ $E_{K_{A}},E_{K_{B}},$ $E_{K_{A}},E_{K_{B}},$ $\text{[math]}$ $\text{[math]}$ $E_{K_{T}},E_{K_{p}}$ $E_{K_{T}},E_{K_{p}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно