Протокол Ву — Лама

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_A,K_B,K_T}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_A^{-1},K_B^{-1},K_T^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_A,{\{...\}}_{K_A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_B,{\{...\}}_{K_B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle {\{...\}}_{K_B^{-1}},{\{...\}}_{K_A^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_K,{\{...\}}_K}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_A,T_B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_A,R_B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
${\displaystyle K_A,K_B,K_T}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
${\displaystyle K_p}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
${\displaystyle S_A,S_B,}$${\displaystyle S_T,S_{K_p}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
${\displaystyle E_{K_A},E_{K_B},}$${\displaystyle E_{K_T},E_{K_p}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол Ву — Лама — протокол аутентификации и обмена ключами. Как и в случае протокола DASS промежуточная сторона — Трент — поддерживает базу данных всех ключей.

Протокол был описан Томасом Ву и Шаблон:Не переведено в 1992 годуШаблон:SfnШаблон:Sfn.

Алиса отправляет Бобу свой идентификатор:

${\displaystyle (1)Alice\to \{A\}\to Bob}$

Боб отправляет Алисе случайное число:

${\displaystyle (2)Bob\to \{R_B\}\to Alice}$

Алиса отправляет Бобу это число, зашифровав его на общем ключе её и Трента:

${\displaystyle (3)Alice\to \{E_{K_A}(R_B)\}\to Bob}$

Боб отправляет Тренту сообщение, зашифрованное на его с Трентом ключе, в котором содержатся идентификатор Алисы и её сообщение, полученное Бобом на 3-м проходе:

${\displaystyle (4)Bob\to \{E_{K_B}(A,E_{K_A}(R_B))\}\to Trent}$

Трент расшифровывает сообщение ключом Алисы, зашифровывает ключом Боба и отправляет ему:

${\displaystyle (5)Trent\to \{E_{K_B}(R_B)\}\to Bob}$

Алиса отправляет Тренту сообщение со своим идентификатором и Боба:

${\displaystyle Alice\to \{A,B\}\to Trent}$

Трент отправляет Алисе открытый ключ Боба, подписав его своим закрытым ключом:

${\displaystyle Trent\to \left\{S_T\left(K_B\right)\right\}\to Alice}$

Алиса проверяет подпись, после чего отправляет Бобу свой идентификатор и некоторое случайное число, зашифровав их открытым ключом Боба

${\displaystyle Alice\to \left\{E_{K_B}(A,R_A)\right\}\to Bob}$

Боб отправляет Тренту свой идентификатор и идентификатор Алисы, а также случайное число Алисы, зашифрованное открытым ключом Трента:

${\displaystyle Bob\to \{A,B,E_{K_T}\left(R_A\right)\}\to Trent}$

Трент отправляет Бобу два сообщения. В первом содержится открытый ключ Алисы, подписанный ключом Трента. Во втором — случайное число Алисы, случайный сеансовый ключ и идентификаторы Боба и Алисы. Второе сообщение подписывается ключом Трента и шифруется открытым ключом Боба:

${\displaystyle Trent\to \{S_T\left(K_A\right),E_{K_B}\left(S_T(R_A,K,A,B)\right)\}\to Bob}$

Боб проверяет подлинность сообщений с помощью открытого ключа Трента. После этого он посылает Алисе вторую часть сообщения от Трента (вместе с его подписью), дополнив его своим случайным числом и зашифровав открытым ключом Алисы:

${\displaystyle Bob\to \left\{E_{K_A}(S_T(R_A,K,A,B),R_B)\right\}\to Alice}$

Алиса проверяет подпись Трента и совпадение своего случайного числа. После этого отсылает Бобу его случайное число, зашифровав его сеансовым ключом:

${\displaystyle Alice\to \left\{E_K\left(R_B\right)\right\}\to Bob}$

Боб расшифровывает число и убеждается, что оно не изменилосьШаблон:Sfn.

Этот протокол, основанный на симметричной криптографии, был описан Ву и Ламом в 1994 годуШаблон:Sfn.

Алиса генерирует случайное число ${\displaystyle R_A}$ и отправляет Бобу свой идентификатор и это число:

${\displaystyle (1)Alice\to \{A,R_A\}\to Bob}$

Боб тоже генерирует случайное число ${\displaystyle R_B}$ и отправляет Алисе свой идентификатор и это число:

${\displaystyle (2)Bob\to \{B,R_B\}\to Alice}$

Алиса отправляет Бобу свой и его идентификаторы и случайные числа, зашифровав сообщение на общем ключе её и Трента:

${\displaystyle (3)Alice\to \{E_{K_A}(A,B,R_A,R_B)\}\to Bob}$

Боб отправляет Тренту два сообщения. Первое — это сообщение, полученное от Алисы. Второе — та же информация, что и в сообщении от Алисы (оба идентификатора и случайных числа), но зашифрованная на его с Трентом ключе:

${\displaystyle (4)Bob\to \{E_{K_A}(A,B,R_A,R_B),E_{K_B}(A,B,R_A,R_B)\}\to Trent}$

Трент расшифровывает сообщения от Боба, узнаёт идентификаторы и случайные числа участников, после чего генерирует сессионный ключ ${\displaystyle K}$ и отправляет Бобу два сообщения. В первом сообщении содержатся идентификатор Боба, оба случайных числа и сессионный ключ, зашифрованные на ключе Алисы. Во втором сообщении содержатся идентификатор Алисы, оба случайных числа и сессионный ключ, зашифрованные на ключе Боба:

${\displaystyle (5)Trent\to \{E_{K_A}(B,R_A,R_B,K),E_{K_B}(A,R_A,R_B,K)\}\to Bob}$

Боб отправляет Алисе два сообщения. Первое — это первое сообщение, полученное на предыдущем проходе от Трента. Второе — оба случайных числа (${\displaystyle R_A}$ и ${\displaystyle R_B}$), зашифрованные на сессионном ключе:

${\displaystyle (6)Bob\to \{E_{K_A}(B,R_A,R_B,K),E_K(R_A,R_B)\}\to Alice}$

Алиса расшифровывает первое сообщение, получает ключ ${\displaystyle K}$, расшифровывает второе сообщение и отправляет Бобу его случайное число:

${\displaystyle (7)Alice\to \{E_K(R_B)\}\to Bob}$

На симметричный вариант протокола Ву-Лама существует атака с помощью параллельного сеанса, описанная Абади и НидхемомШаблон:SfnШаблон:Sfn.

Мэллори является пользователем системы и имеет общий ключ с Трентом. Также ей требуется блокировать все сообщения, посланные Алисе, то есть Мэллори должна быть активным криптоаналитиком.

Мэллори начинает два сеанса — один от имени Алисы и один от своего имени — и отправляет Бобу два сообщения:

${\displaystyle (1)Mallory(Alice)\to \{A\}\to Bob}$

${\displaystyle (1^{\prime })Mallory\to \{M\}\to Bob}$

Боб думает, что с ним хотят связаться Алиса и Мэллори, и отправляет каждой своё случайное число:

${\displaystyle (2)Bob\to \{R_B\}\to Mallory(Alice)}$

${\displaystyle (2^{\prime })Bob\to \{{R_B}^{\prime }\}\to Mallory}$

Мэллори игнорирует своё случайное число и в обоих сеансах отправляет Бобу одно и то же сообщение — случайное число ${\displaystyle R_B}$, предназначенное Алисе, зашифрованное на общем ключе Мэллори и Трента ${\displaystyle K_M}$:

${\displaystyle (3)Mallory(Alice)\to \{E_{K_M}(R_B)\}\to Bob}$

${\displaystyle (3^{\prime })Mallory\to \{E_{K_M}(R_B)\}\to Bob}$

Боб, следуя инструкциям протокола и не сравнивая сообщения между собой, пересылает их Тренту, добавив идентификаторы и зашифровав на их общем ключе ${\displaystyle K_B}$:

${\displaystyle (4)Bob\to \{E_{K_B}(A,E_{K_M}(R_B)\}\to Trent}$

${\displaystyle (4^{\prime })Bob\to \{E_{K_B}(M,E_{K_M}(R_B)\}\to Trent}$

Трент в каждом сеансе расшифровывает сообщение с помощью ключа того участника, идентификатор которого он получил. Так как в первом сеансе он получил идентификатор Алисы, а число ${\displaystyle R_B}$ было зашифровано на ключе Мэллори ${\displaystyle K_M}$, при расшифровке получится другое число («мусор»).

${\displaystyle (5)Trent\to \{\text{''Мусор''}\}\to Bob}$

${\displaystyle (5^{\prime })Trent\to \{E_{K_B}(R_B)\}\to Bob}$

Боб видит в одном из последних сообщений случайное число ${\displaystyle R_B}$, которое он посылал Алисе (как он думает), а в другом — мусор. Из-за этого Боб считает, что он установил связь с Алисой, хотя Алиса вообще не участвовала в обмене сообщениями.

Последовательность сеансов в данном случае не важна — атака будет развиваться точно также.

Абади и Нидхем предложили защиту от этой атаки: в сообщение 5-го прохода Трент должен включить идентификатор Алисы. В этом случае Боб при получении идентификатора Мэллори и случайного числа ${\displaystyle R_B}$ (которое он отправлял Алисе) отбросит такое сообщение, и атака сорвётся.

На этот вариант протокола также существует атака с помощью параллельного сеансаШаблон:Sfn.

Пусть Алиса инициировала запрос на установление связи с Мэллори. Тогда Мэллори может инициировать параллельный сеанс связи с Алисой, установить связь в первом сеансе, а второй отложить. После этого через некоторое время (даже после завершения первого сеанса) продолжить установление связи во втором сеансе и заставить Алису принять старый сессионный ключ (тот, что использовался в первом сеансе). Также ей требуется блокировать сообщение, посланные Трентом Алисе, то есть Мэллори должна быть активным криптоаналитиком.

Алиса начинает сеанс связи с Мэллори. Мэллори в ответ начинает сеанс связи с Алисой, отправляя ей то же случайное число, которое она получила:

${\displaystyle (1)Alice\to \{A,R_A\}\to Mallory}$

${\displaystyle (1^{\prime })Mallory\to \{M,R_A\}\to Alice}$

После этого Мэллори дожидается, пока Алиса ответит на её сообщение из второго сеанса, достаёт из него случайное число и вставляет его в сообщение Алисе в первом сеансе.

${\displaystyle (2^{\prime })Alice\to \{A,R_{A^{\prime }}\}\to Mallory}$

${\displaystyle (2)Mallory\to \{M,R_{A^{\prime }}\}\to Alice}$

После этого Алиса и Мэллори нормально завершают первый сеанс протокола:

${\displaystyle (3)Alice\to \{E_{K_A}(A,M,R_A,R_{A^{\prime }})\}\to Mallory}$

${\displaystyle (4)Mallory\to \{E_{K_A}(A,M,R_A,R_{A^{\prime }}),E_{K_M}(A,M,R_A,R_{A^{\prime }})\}\to Trent}$

${\displaystyle (5)Trent\to \{E_{K_A}(M,R_A,R_{A^{\prime }},K),E_{K_M}(A,R_A,R_{A^{\prime }},K)\}\to Mallory}$

${\displaystyle (6)Mallory\to \{E_{K_A}(M,R_A,R_{A^{\prime }},K),E_K(R_A,R_{A^{\prime }})\}\to Alice}$

${\displaystyle (7)Alice\to \{E_K{R}_{A^{\prime }}\}\to Mallory}$

Через некоторое время Мэллори продолжает установление второго сеанса связи:

${\displaystyle (3^{\prime })Mallory\to \{E_{K_M}(M,A,R_A,R_{A^{\prime }})\}\to Alice}$

Алиса отправляет серверу сообщение, которое Мэллори перехватывает и блокирует.

${\displaystyle (4^{\prime })Alice\to \{E_{K_M}(M,A,R_A,R_{A^{\prime }}),E_{K_A}(M,A,R_A,R_{A^{\prime }})\}\to Mallory(Trent)}$

Мэллори от имени сервера посылает Алисе сообщение со старым сессионным ключом, просто поменяв местами части сообщения из 5-го прохода первого сеанса.

${\displaystyle (5^{\prime })Mallory(Trent)\to \{E_{K_M}(A,R_A,R_{A^{\prime }},K),E_{K_A}(M,R_A,R_{A^{\prime }},K)\}\to Alice}$

После этого Алиса с Мэллори завершают установление соединения.

${\displaystyle (6^{\prime })Alice\to \{E_{K_M}(A,R_A,R_{A^{\prime }},K),E_K(R_A,R_{A^{\prime }})\}\to Mallory}$

${\displaystyle (7^{\prime })Mallory\to \{E_K(R_{A^{\prime }})\}\to Alice}$

Шаблон:Примечания

• Шаблон:Книга:Прикладная криптография
• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья

Шаблон:Протоколы аутентификации и обмена ключами