Рейтинг:1

Может ли одноразовый номер быть полностью случайным в (упрощенном) протоколе Нидхэма-Шредера?

флаг ng

Из того, что я прочитал до сих пор, одноразовые значения — это случайные одноразовые значения, которые отправляются в виде открытого текста в дополнение к зашифрованному тексту для проверки личности отправителя/получателя. Теоретически, если одноразовый номер является случайным, злоумышленник E может перехватить сообщение Алисы, предназначенное для Боба, и выдать себя за Боба, сгенерировав случайный одноразовый номер, даже не связавшись с Бобом.

Итак, если протокол запрос-ответ:

А В : пА

В А : {nА, нБ}К

А В : пБ

где nA,nB — одноразовые номера, а K — симметричный общий ключ Алисы и Боба.

  1. Может ли злоумышленник выполнить отражающую атаку Алисе, просто изменив одноразовый номер? Таким образом, A вводится в заблуждение, думая, что B инициирует связь с A, а затем она поделится обоими их одноразовыми номерами, зашифрованными с помощью ключа,
    в этом случае (изменение 2-й строки протокола):

В А : {nА, нЕ}К

что приводит к атаке по известному открытому тексту. Злоумышленник знает как открытый текст, так и зашифрованный текст в этом сценарии, поэтому он может получить секретный ключ.

  1. Можно ли исправить этот недостаток в протоколе:
  • применение k к одноразовым номерам?
  • включая идентификатор B (получателя) во втором зашифрованном тексте?

Исправить предложение

А В : {nА}к

B A : {B, nА}к

А В : {nБ}к

Рейтинг:0
флаг ru

что приводит к атаке по известному открытому тексту. Злоумышленник знает как открытый текст, так и зашифрованный текст в этом сценарии, поэтому он может получить секретный ключ.

Это невозможно для любого современного дизайна шифра. Шифры спроектированы таким образом, что даже если злоумышленник имеет доступ к огромному количеству совпадающих открытого и зашифрованного текста, ключ все равно невозможно восстановить.

Существует атака отражения на ваш протокол, если Алиса разрешает чередование сеансов с Бобом, в которых она является отправителем и получателем, и использует один и тот же ключ для обоих. Это происходит следующим образом:

  • Сеанс 1: Алиса генерирует и отправляет $n_A$ Бобу, но его перехватывает Мэллори
  • Сессия 2: Мэллори размышляет $n_A$ вернуться к Алисе, притворяющейся Бобом
  • Сессия 2: Алиса генерирует $n_B$ и отправляет $(n_A,n_B)_K$ Бобу, но его перехватывает Мэллори
  • Сессия 1: Мэллори размышляет $(n_A,n_B)_K$ вернуться к Алисе
  • Сессия 1: Алиса расшифровывает $(n_A,n_B)_K$ и проверяет, что значение $n_A$ это тот, который она отправила в начале сеанса 1. Если это так, она отправляет $n_B$ Бобу, но его перехватывает Мэллори.
  • Сессия 2: Мэллори размышляет $n_B$ вернуться к Алисе.

В сеансе 2 Алиса получает обратно $n_B$ ценность, которую она ожидает, и в обоих сеансах протокол приводит ее к мысли, что она общается с Бобом. Эта атака не блокируется шифрованием начального одноразового номера.

suigetsuh17 avatar
флаг ng
Спасибо за ответ, я вижу, что мое понимание связи между A и B было немного неправильным. Если вы видите во 2-м пункте вопроса 2, можно ли исправить эту атаку отражения, если B включает свой идентификатор во 2-е сообщение?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.