Wide-Mouth Frog

Wide-Mouth Frog (досл. с англ. «лягушка с широкой глоткой») — возможно, самый простой протокол для симметричного обмена ключами с использованием доверенного сервера. ${\displaystyle A}$ (Алиса) и ${\displaystyle B}$ (Боб) разделяют секретный ключ с ${\displaystyle T}$ (Трентом). В данном протоколе ключи используются только для их распределения, а не для шифрования сообщенийШаблон:Sfn.

Автором протокола считается Шаблон:Не переведено 2, впервые он был опубликован в «Michael Burrows, Martin Abadi, and Roger Needham. A logic of authentication»Шаблон:Sfn в 1989 году. В 1997 Шаблон:Не переведено 2 в своей работе «A Family of Attacks upon Authentication Protocols»Шаблон:Sfn предложил Шаблон:Не переведено 2, исправляющий некоторые уязвимости.

Для начала сеанса передачи сообщений Алиса шифрует конкатенацию метки времени, идентификатора Боба и сгенерированного случайного сеансового ключа. В качестве ключа шифрования используется ключ, который известен Алисе и Тренту — промежуточному доверенному серверу. После этого Алиса передаёт своё имя (в открытом виде) и зашифрованные данные Тренту.

${\displaystyle Alice\to \{A,E_A(T_A,B,K)\}\to Trent}$

Трент расшифровывает совместным с Алисой ключом пакет, выбирает оттуда сгенерированный Алисой случайный сеансовый ключ и составляет конкатенацию из новой метки времени, идентификатора Алисы и сеансового ключа, после чего шифрует её общим с Бобом ключом и передаёт ему.

${\displaystyle Trent\to \left\{E_B(T_T,A,K)\right\}\to Bob}$

После этого Боб расшифровывает пакет данных общим с Трентом ключом и может использовать сгенерированный Алисой случайный сеансовый ключ для передачи данных.

В 1995 году Росс Андерсон и Роджер Нидхем предложили следующий алгоритм атаки на протокол:

1. ${\displaystyle Alice\to \{A,E_A(T_A,B,K)\}\to Trent}$
2. ${\displaystyle Trent\to \left\{E_B(T_T,A,K)\right\}\to Bob}$
3. ${\displaystyle I(Bob)\to \{B,E_B(T_T,A,K)\}\to Trent}$
4. ${\displaystyle Trent\to \left\{E_A(T{\text{'}}_T,B,K)\right\}\to Alice}$
5. ${\displaystyle I(Alice)\to \{A,E_A(T{\text{'}}_T,B,K)\}\to Trent}$
6. ${\displaystyle Trent\to \left\{E_B(T^{\prime }{\text{'}}_T,A,K)\right\}\to Bob}$,

где I(Alice) и I(Bob) — злоумышленник имитирующий Алису и Боба соответственно.

Изъян протокола заключается в том, что Трент обновляет свою временную метку ${\displaystyle T_T}$, от временной метки Алисы ${\displaystyle T_A}$. То есть пока Трент не держит список всех рабочих ключей и меток, злоумышленник может поддерживать ключи рабочими, используя Трента в качестве предсказателя.

Практический результат данного недостатка будет зависеть от приложения. Например, если пользователи используют смарт-карту с данным протоколом, который в открытом виде отправляет сеансовый ключ в Шаблон:Не переведено 2, то ключи могут быть открыты для данной атаки. Злоумышленник может наблюдать как Алиса и Боб проводят сеансы и поддерживать ключи рабочими, пока не появится возможность выкрасть смарт-картуШаблон:Sfn.

В 1997 году Гэвин Лоу предложил ещё один вариант атаки на данный протокол, основанный на том, что злоумышленник заставляет думать Боба, что Алиса установила два сеанса обмена, в то время как Алиса устанавливает один сеанс. Атака включает два чередующихся прохода протокола, которые мы назовём ${\displaystyle \alpha }$ и ${\displaystyle \beta }$, обозначим, например, второе сообщение сеанса \alpha как ${\displaystyle \alpha .2.}$ Тогда атака выглядит следующим образом:

1. ${\displaystyle Message}$ ${\displaystyle \alpha .1.}$ ${\displaystyle Alice\to \{A,E_A(T_A,B,K)\}\to Trent}$
2. ${\displaystyle Message}$ ${\displaystyle \alpha .2.}$ ${\displaystyle Trent\to \{B,E_B(T_T,A,K)\}\to Bob}$
3. ${\displaystyle Message}$ ${\displaystyle \beta .2.}$ ${\displaystyle I(Trent)\to \{B,E_B(T_T,A,K)\}\to Bob}$,

где I(Trent) злоумышленник имитирующий Трента.

Сеанс ${\displaystyle \alpha }$ представляет нормальный ход обмена ключами, когда Алиса устанавливает сеанс с Бобом, используя ключ ${\displaystyle K}$. Тогда в сообщении ${\displaystyle \beta .2}$, злоумышленник имитирует Трента, и повторяет сообщение ${\displaystyle \alpha .2}$; после чего Боб считает, что Алиса пытается начать второй сеанс.

Кроме того, злоумышленник может воспроизвести для Трента сообщение ${\displaystyle \alpha .1}$, как сообщение следующего сеанса. Это приведёт к получению Бобом второго сообщение, с таким же результатом как и ранее.

Данную уязвимость исправляет Шаблон:Не переведено 2Шаблон:Sfn.

Данная модификация была предложена Гэвином Лоу, для устранения уязвимости для атаки 1997 года. Выглядит она следующим образом:

1. ${\displaystyle Alice\to \{A,E_A(T_A,B,K)\}\to Trent}$
2. ${\displaystyle Trent\to \left\{E_B(T_T,A,K)\right\}\to Bob}$
3. ${\displaystyle Bob\to {\left\{R_B\right\}}_K\to Alice}$
4. ${\displaystyle Alice\to {\{R_B+1\}}_K\to Bob}$

Эти изменения позволят избежать атак 1997 года: Боб будет генерировать два разных одноразовых номера, по одному для каждого сеанса, и ожидать в качестве ответа сообщение 4. В то же время Алиса будет возвращать только одно такое сообщение, и злоумышленник не сможет сгенерировать другого.

К сожалению, данная модификация убирает самую привлекательную черту протокола Wide-Mouthed Frog — простотуШаблон:Sfn.

• Требуется глобальный счётчик.
• Трент имеет доступ ко всем ключам.
• Значение сеансового ключа ${\displaystyle K}$ полностью определяется Алисой, то есть она должна быть достаточно компетентной для генерации хороших ключей.
• Может дублировать сообщения, во время действия временной метки.
• Алиса не знает существует ли Боб.
• Протокол динамичный, что обычно нежелательно, так как это требует большей функциональности от Трента. Например, Трент должен справляться с ситуацией, когда Боб недоступен.

Шаблон:Примечания

• Шаблон:Книга
• Шаблон:H
• M. Burrows, M. Abadi, R. Needham A Logic of Authentication // ACM Transactions on Computer Systems, — v. 8 — n. 1 — Feb. 1990 — pp. 18—36
• Шаблон:H
• Шаблон:H
• Ji Ma, Mehmet A. Orgun and Abdul Sattar Analysis of Authentication Protocols in Agent-Based Systems Using Labeled Tableaux // IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART B: CYBERNETICS, VOL. 39, NO. 4, AUGUST 2009
• Security Protocol Open Repository
• Шаблон:HRoss Anderson and Roger Needham Programming Satan’s Computer // Cambridge University Computer Laboratory Pembroke Street, Cambridge, England CB2 3QG

Шаблон:Протоколы аутентификации и обмена ключами