взаимная аутентификация в протоколе STS

Протокол STS выглядит следующим образом:

1. $A \rightarrow B:~ g^x$
2. $A \leftarrow B:~ g^y, E_K(S_B(g^y, g^x))$
3. $A \rightarrow B:~ E_K(S_A(g^x, g^y))$

Мой вопрос: почему мы говорим в STS, что у нас есть взаимная аутентификация? Например:

1. $A \rightarrow C: g^x$
2. $C \rightarrow B: g^x$
3. $C \leftarrow B: g^y, E_K(S_B(g^y, g^x))$
4. $A \leftarrow C: g^y, E_K(S_B(g^y, g^x))$

поэтому A будет аутентифицировать C вместо B!

Основной проблемой в этом вопросе является роль C.
Здесь C не делает ничего, кроме передачи данных. так что это как-то действует как провод. так что это не будет учтено в протоколе.

На вопрос (с конкретной «атакой») подробно ответили в Раздел 1.5.6, Атака / Рисунок 1.6 .

По сути, это зависит от конкретного определения «взаимной аутентификации» или, в более общем смысле, от целей аутентификации. В цитируемой работе достигается определение «взаимной аутентификации» (определ. 14 ниже), поскольку обе стороны могут убедиться, что сообщения исходить от соответствующей стороны. Например, А знает, что сообщение $g^y, E_K(S_B(g^y, g^x))$ прийти из B, проверив $S_B$, и, таким образом, B знает о содержании.

Однако определение «строгая аутентификация объекта» (см. определение 13 ниже) не выполняется, поскольку «Было бы неверным заключить, что после удачного пробега что Б хочет общаться с ней». Раздел 1.5.6

"Определение 13. Строгая аутентификация объекта от A до B обеспечивается, если B имеет свежий гарантия того, что A знает о B как о своей равноправной сущности» Def 13., Сильная аутентификация объекта

"Определение 14. Взаимная аутентификация происходит, если оба объекта аутентифицируются для каждого другой в том же протоколе. Односторонняя аутентификация (иногда называемая односторонней аутентификацией). аттестация) происходит, если только один объект аутентифицируется для другого». Def 14., Взаимная аутентификация

Скажем, служащий. В модели сервер-клиент должны быть идентифицированы обе стороны. Во время фазы аутентификации ключа с аутентификацией клиент Ci идентифицируется с оценкой MACk (IDCi, TCi, R, R), а сервер с оценкой MACk = (IDCi, TCi, L) соответственно. Злоумышленник не может создать действительный сеанс, если он не знает реальной личности клиента, и вычислить обычно вычисляемое значение R и правильное k = H3 (IDCi, TCi, R, R).

Устойчивость к десинхронизированной атаке,

Создание нового AID требует современных расчетов для обеих сторон.Если клиент не получает сообщение от сервера, возможно, он не сможет к нему подключиться. Поэтому разумно предположить, что взаимная аутентификация с помощью протокола обмена ключами — это только начало сеанса, за которым следует безопасный обмен сообщениями. Во время этого обмена происходит важный для протокола процесс. Если сервер не получает сообщения после взаимной аутентификации, сервер будет знать, что клиент может не получать сообщения, и перестанет обновлять AID новым значением.