Протокол Ньюмана — Стабблбайна

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами
A <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/7daff47fa58cdfd29dc333def748ff5fa4c923e3.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.338ex; width:1.743ex; height:2.176ex;" alt="A">	Идентификаторы Алисы (Alice), инициатора сессии
B <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/47136aad860d145f75f3eed3022df827cee94d7a.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.338ex; width:1.764ex; height:2.176ex;" alt="B">	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
T <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/ec7200acd984a1d3a3d7dc455e262fbe54f7f6e0.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.338ex; width:1.636ex; height:2.176ex;" alt="T">	Идентификатор Трента (Trent), доверенной промежуточной стороны
K A , K B , K T <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/153c402e37d6f7d681b96e7cd4dccff805e1e3b7.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.671ex; width:12.321ex; height:2.509ex;" alt="K_{A},K_{B},K_{T}">	Открытые ключи Алисы, Боба и Трента
K A − 1 , K B − 1 , K T − 1 <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/38ebced88c8dc84b62c1261525c8a0eca7399b21.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -1.005ex; width:15.348ex; height:3.343ex;" alt="K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}">	Секретные ключи Алисы, Боба и Трента
E A , { . . . } K A <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/c0837e82b3a3b7402f0cfb49eda1bc91f123473d.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -1.338ex; width:12.433ex; height:3.343ex;" alt="E_{A},\left\{...\right\}_{K_{A}}">	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
E B , { . . . } K B <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/73c95d0c80c340f2ed51fcbc440371b99393abdf.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -1.338ex; width:12.46ex; height:3.343ex;" alt="E_{B},\left\{...\right\}_{K_{B}}">	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
{ . . . } K B − 1 , { . . . } K A − 1 <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/56a44e861ff8ce91fb5effe8f2db61c4ffe48b01.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -1.671ex; width:19.052ex; height:3.676ex;" alt="\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}">	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
I <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/535ea7fc4134a31cbe2251d9d3511374bc41be9f.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.338ex; width:1.172ex; height:2.176ex;" alt="I">	Порядковый номер сессии (для предотвращения атаки с повтором)
K <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/2b76fce82a62ed5461908f0dc8f037de4e3686b0.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.338ex; width:2.066ex; height:2.176ex;" alt="K">	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
E K , { . . . } K <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/feffb9d410cd45e9dfd3077eb6ff8a2f7e3d59a2.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -1.005ex; width:11.562ex; height:3.009ex;" alt="E_{K},\left\{...\right\}_{K}">	Шифрование данных временным сеансовым ключом
T A , T B <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/dd223f8fb3718ceb36c06c27b9880f0718d1a59b.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.671ex; width:6.693ex; height:2.509ex;" alt="T_{A},T_{B}">	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
R A , R B <img onError="this.style.display='none'" src="https://xn--b1aeclack5b4j.su/save/svg/rest_v1/media/math/render/svg/e71003093c4f25075230d16c10195f5f23ed3923.svg" class="mwe-math-fallback-image-inline" aria-hidden="true" style="vertical-align: -0.671ex; width:7.506ex; height:2.509ex;" alt="R_{A},R_{B}">	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Протокол Ньюмана-СтабблбайнаПравить

Протокол Ньюмана — Стабблбайна — симметричный протокол аутентификации и обмена ключами с использованием доверенной стороны. Является усовершенствованной версией протокола Yahalom. Особенностью протокола является отсутствие необходимости синхронизации часов у сторон, а также возможность повторной аутентификации без использования промежуточной стороны.

ИсторияПравить

Криптографический протокол Ньюмана-Стабблбайна для удостоверения подписи и обмена ключами был впервые опубликован в 1993 году. Протокол является модификацией протокола Yahalom и разработан в Массачусетском технологическом институте (MIT) Клифордом Ньюманом и Стюартом Стабблбаном.

Описание протоколаПравить

Взаимодействие участников в протоколе Ньюмана-Стабблбайна

ОписаниеПравить

Алиса и Боб хотят безопасно обмениваться сообщениями, находясь на различных концах сети. Предполагается, что каждому пользователю Трент выделяет отдельный секретный ключ, и перед началом работы протокола все ключи уже находятся у пользователей.

Алиса отправляет Бобу сообщение, содержащее идентификатор Алисы и некоторое случайное число Алисы:

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{A,R_{A}\right\}\to Bob$

Боб объединяет идентификатор Алисы, ее случайное число и метку времени, шифрует сообщение общим с Трентом ключом и посылает его Тренту, добавив свой идентификатор и случайное число Боба:

2.

\text{[math]}

Bob\to \left\{B,R_{B},E_{B}\left(A,R_{A},T_{B}\right)\right\}\to Trent

Трент генерирует сеансовый ключ

\text{[math]}

K

, а затем создает два сообщения. Первое включает идентификатор Боба, случайное число Алисы, случайный сеансовый ключ, метку времени и шифруется общим для Трента и Алисы ключом. Второе состоит из идентификатора Алисы, сеансового ключа, метки времени и шифруется общим для Трента и Боба ключом. Трент добавляет к ним случайное число Боба и отправляет Алисе:

3.

\text{[math]}

Trent\to \left\{E_{A}\left(B,R_{A},K,T_{B}\right),E_{B}\left(A,K,T_{B}\right),R_{B}\right\}\to Alice

Алиса извлекает

\text{[math]}

K

и убеждается, что

\text{[math]}

R_{A}

совпадает с тем, что было послано на этапе 1. Алиса отправляет Бобу два сообщения. Первое - это второе сообщение от Трента, зашифрованное ключом Боба. Второе - это случайное число Боба, зашифрованное сеансовым ключом.

4.

\text{[math]}

Alice\to \left\{E_{B}\left(A,K,T_{B}\right),E_{K}\left(R_{B}\right)\right\}\to Bob

Боб расшифровывает сообщение своим ключом и убеждается, что значения

\text{[math]}

T_{B}

и

\text{[math]}

R_{B}

не изменились.

Если оба случайных числа и метка времени совпадают, то Алиса и Боб убеждаются в подлинности друг друга и получают секретный ключ. Нет необходимости синхронизировать часы, так как метка времени определяется только по часам Боба и только Боб проверяет созданную им метку времени.

Проверка подлинностиПравить

Протокол обладает возможностью повторной аутентификации сторон без использования промежуточной стороны, но с использованием новых случайных чисел:

Алиса отправляет Бобу сообщение, присланное Трентом на этапе 3 и новое случайное число:

$\text{[math]}$ $\text{[math]}$ $Alice\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{A}\right\}\to Bob$

Боб отправляет Алисе свое новое случайное число и случайное число Алисы, шифруя их сеансовым ключом:

2.

\text{[math]}

Bob\to \left\{R'_{B},E_{K}\left(R'_{A}\right)\right\}\to Alice

Алиса отправляет Бобу его новое случайное число, зашифрованное сеансовым ключом:

3.

\text{[math]}

Alice\to \left\{E_{K}\left(R'_{B}\right)\right\}\to Bob

Использование новых случайных чисел $\text{[math]}$ $\text{[math]}$ $R'_{A}$ и $\text{[math]}$ $\text{[math]}$ $R'_{B}$ защищает от атаки с повторной передачей.

Атаки на протоколПравить

Атака на проверку подлинностиПравить

$\text{[math]}$ $\text{[math]}$ $I$ (от англ. Intruder) - злоумышленник.

$\text{[math]}$ $\text{[math]}$ $I(Alice)\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{A}\right\}\to Bob$
$\text{[math]}$ $\text{[math]}$ $Bob\to \left\{R'_{B},E_{K}\left(R'_{A}\right)\right\}\to I(Alice)$
$\text{[math]}$ $\text{[math]}$ $I(Alice)\to \left\{E_{B}\left(A,K,T_{B}\right),R'_{B}\right\}\to Bob$
$\text{[math]}$ $\text{[math]}$ $Bob\to \left\{R'_{B},E_{K}\left(R'_{B}\right)\right\}\to I(Alice)$
$\text{[math]}$ $\text{[math]}$ $I(Alice)\to \left\{E_{K}\left(R'_{B}\right)\right\}\to Bob$

Атака на основе открытых текстовПравить

$\text{[math]}$ $\text{[math]}$ $I(Bob)\to \left\{B,R_{B},E_{B}\left(A,K_{0},T_{B}\right)\right\}\to Trent$
$\text{[math]}$ $\text{[math]}$ $Trent\to \left\{E_{A}\left(B,R_{A},K_{1},T_{B}\right),E_{B}\left(A,K_{1},T_{B}\right),R_{B}\right\}\to I(Alice)$
$\text{[math]}$ $\text{[math]}$ $I(Bob)\to \left\{B,R_{B},E_{B}\left(A,K_{1},T_{B}\right)\right\}\to Trent$
$\text{[math]}$ $\text{[math]}$ $Trent\to \left\{E_{A}\left(B,R_{A},K_{2},T_{B}\right),E_{B}\left(A,K_{2},T_{B}\right),R_{B}\right\}\to I(Alice)$ и т.д.

В этой атаке злоумышленник может получить столько шифров $\text{[math]}$ $\text{[math]}$ $E_{B}\left(A,K_{i},T_{B}\right)$ , сколько необходимо для начала атаки на основе открытых текстов.

ЛитератураПравить

Шнайер Б. Протокол Ньюмана-Стабблбайна // Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — С. 82. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
A. Kehne, J. Schönwälder, H. Langendörfer. A nonce-based protocol for multiple authentications (англ.) // ACM SIGOPS Operating Systems Review. — 1992. — Vol. 26, iss. 4. — P. 84 - 89. — ISSN 0163-5980.
B. Clifford Neuman, Stuart G. Stubblebine. A note on the use of timestamps as nonces (англ.) // ACM SIGOPS Operating Systems Review. — New York, NY, USA: ACM, 1993. — Vol. 2, iss. 27. — P. 10—14. — ISSN 0163-5980.

$\text{[math]}$ $\text{[math]}$ $A$	Идентификаторы Алисы (Alice), инициатора сессии
$\text{[math]}$ $\text{[math]}$ $B$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
$\text{[math]}$ $\text{[math]}$ $T$	Идентификатор Трента (Trent), доверенной промежуточной стороны
$\text{[math]}$ $\text{[math]}$ $K_{A},K_{B},K_{T}$	Открытые ключи Алисы, Боба и Трента
$\text{[math]}$ $\text{[math]}$ $K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}$	Секретные ключи Алисы, Боба и Трента
$\text{[math]}$ $\text{[math]}$ $E_{A},\left\{...\right\}_{K_{A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
$\text{[math]}$ $\text{[math]}$ $E_{B},\left\{...\right\}_{K_{B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
$\text{[math]}$ $\text{[math]}$ $\left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
$\text{[math]}$ $\text{[math]}$ $I$	Порядковый номер сессии (для предотвращения атаки с повтором)
$\text{[math]}$ $\text{[math]}$ $K$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
$\text{[math]}$ $\text{[math]}$ $E_{K},\left\{...\right\}_{K}$	Шифрование данных временным сеансовым ключом
$\text{[math]}$ $\text{[math]}$ $T_{A},T_{B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
$\text{[math]}$ $\text{[math]}$ $R_{A},R_{B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно