Протокол Деннинг — Сакко

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_A,K_B,K_T}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_A^{-1},K_B^{-1},K_T^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_A,{\{...\}}_{K_A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_B,{\{...\}}_{K_B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle {\{...\}}_{K_B^{-1}},{\{...\}}_{K_A^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_K,{\{...\}}_K}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_A,T_B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_A,R_B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
${\displaystyle K_A,K_B,K_T}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
${\displaystyle K_p}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
${\displaystyle S_A,S_B,}$${\displaystyle S_T,S_{K_p}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
${\displaystyle E_{K_A},E_{K_B},}$${\displaystyle E_{K_T},E_{K_p}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол Деннинг — Сакко^[1] — общее название для симметричного и асимметричного протоколов распространения ключей с использованием доверенной стороны.

В 1981 году сотрудники университета Пердью (англ. Purdue University) Дороти Деннинг (англ. Dorothy E. Denning) и Джованни Мария Сакко (англ. Giovanni Maria Sacco) представили атаку на протокол Нидхема — Шрёдера и предложили свою модификацию протокола, основанную на использовании временны́х метокШаблон:Sfn.

При симметричном шифровании предполагается, что секретный ключ, принадлежащий клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В ходе выполнения протокола клиенты (Алиса, Боб) получают от сервера аутентификации (Трент) новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Рассмотрим реализацию протокола Деннинг — Сакко с симметричным ключомШаблон:Sfn:

1. ${\displaystyle Alice\to \{A,B\}\to Trent}$
2. ${\displaystyle Trent\to {\{B,K,T_T,{\{A,K,T_T\}}_{K_B}\}}_{K_A}\to Alice}$
3. ${\displaystyle Alice\to {\{A,K,T_T\}}_{K_B}\to Bob}$

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

${\displaystyle Alice\to \{A,B\}\to Trent}$

Трент генерирует сессионный ключ ${\displaystyle K}$ и отправляет Алисе зашифрованное сообщение, которое включает в себя идентификатор Боба, сессионный ключ, метку времени и пакет ${\displaystyle {\{A,K,T_T\}}_{K_B}}$, выполняющий роль сертификата Алисы:

${\displaystyle Trent\to {\{B,K,T_T,{\{A,K,T_T\}}_{K_B}\}}_{K_A}\to Alice}$

Затем Алиса расшифровывает сообщение Трента и отправляет Бобу свой сертификат ${\displaystyle {\{A,K,T_T\}}_{K_B}}$:

${\displaystyle Alice\to {\{A,K,T_T\}}_{K_B}\to Bob}$

По окончании протокола у Алисы и Боба есть общий сеансовый ключ ${\displaystyle K}$.

Алиса и Боб могут убедиться в том, что полученные ими сообщения валидные, с помощью проверки меток времени ${\displaystyle T_T}$.

В 1997 году Гэвин Лоу (англ. Gavin Lowe) представил атаку на протоколШаблон:Sfn:

• Алиса и Боб завершают сеанс протокола, в результате чего у сторон вырабатывается сессионный ключ ${\displaystyle K}$:

1. ${\displaystyle Alice\to \{A,B\}\to Trent}$

2. ${\displaystyle Trent\to {\{B,K,T_T,{\{A,K,T_T\}}_{K_B}\}}_{K_A}\to Alice}$

3. ${\displaystyle Alice\to {\{A,K,T_T\}}_{K_B}\to Bob}$

• Далее злоумышленник повторяет последнее сообщение Алисы:

4. ${\displaystyle Attacker\to {\{A,K,T_T\}}_{K_B}\to Bob}$

Действия злоумышленника приводят к тому, что Боб решает, будто Алиса хочет установить с ним новое соединение.

В той же работе Лоу предложил модификацию протокола, в которой обеспечивается аутентификация Алисы перед БобомШаблон:Sfn:

• Сначала Алиса и Боб полностью повторяют сеанс протокола:

1. ${\displaystyle Alice\to \{A,B\}\to Trent}$

2. ${\displaystyle Trent\to {\{B,K,T_T,{\{A,K,T_T\}}_{K_B}\}}_{K_A}\to Alice}$

3. ${\displaystyle Alice\to {\{A,K,T_T\}}_{K_B}\to Bob}$

• Затем Боб генерирует случайное число, шифрует его на сессионном ключе ${\displaystyle K}$ и отправляет Алисе:

4. ${\displaystyle Bob\to {\left\{R_B\right\}}_K\to Alice}$

• Алиса расшифровывает сообщение Боба, прибавляет к ${\displaystyle R_B}$ единицу, шифрует полученный результат на сессионном ключе ${\displaystyle K}$ и отправляет Бобу:

5. ${\displaystyle Alice\to {\{R_B+1\}}_K\to Bob}$

После того как Боб расшифрует сообщение Алисы, он сможет проверить факт владения Алисы сессионным ключом ${\displaystyle K}$.

В рамках протокола Боб никак не подтверждает получение нового сессионного ключа ${\displaystyle K}$ и возможность им оперировать. Сообщение от Алисы на 5-м проходе могло быть перехвачено или изменено злоумышленником. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

Асимметричный вариант протокола Деннинг — Сакко. Сервер аутентификации владеет открытыми ключами всех клиентов. Рассмотрим реализацию протокола Деннинг — Сакко с открытым ключомШаблон:Sfn:

1. ${\displaystyle Alice\to \{A,B\}\to Trent}$
2. ${\displaystyle Trent\to \{S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Alice}$
3. ${\displaystyle Alice\to \{E_B\left(S_A(K,T_A)\right),S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Bob}$

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

${\displaystyle Alice\to \{A,B\}\to Trent}$

В ответ Трент отправляет Алисе подписанные сертификаты открытых ключей Алисы и Боба. Дополнительно в каждый сертификат добавляются временные метки:

${\displaystyle Trent\to \{S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Alice}$

Алиса генерирует новый сессионный ключ ${\displaystyle K}$ и отправляет его Бобу вместе с меткой времени ${\displaystyle T_A}$, подписав это своим ключом и зашифровав это открытым ключом Боба, вместе с обоими сообщениями, полученными от Трента:

${\displaystyle Alice\to \{E_B\left(S_A(K,T_A)\right),S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Bob}$

Боб проверяет подпись доверенного центра на сертификате ${\displaystyle S_T(A,K_A,T_T)}$, расшифровывает сессионный ключ ${\displaystyle K}$ и проверяет подпись Алисы.

Абади и Нидхем описали атаку на протоколШаблон:Sfn, в ходе которой Боб, получив сообщение от Алисы, может выдать себя за неё в сеансе с другим пользователем. Отсутствие в сообщении от Алисы ${\displaystyle E_{K_B}\left(S_A(K,T_A)\right)}$ идентификатора Боба приводит к тому, что Боб может использовать принятые от Алисы данные для того, чтобы выдать себя за Алису в новом сеансе с третьей стороной (Кларой).

• Сначала Алиса и Боб проводят стандартный сеанс протокола, выработав новый сессионный ключ ${\displaystyle K}$:

1. ${\displaystyle Alice\to \{A,B\}\to Trent}$

2. ${\displaystyle Trent\to \{S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Alice}$

3. ${\displaystyle Alice\to \{E_B\left(S_A(K,T_A)\right),S_T(A,K_A,T_T),S_T(B,K_B,T_T)\}\to Bob}$

• После этого Боб инициирует новый сеанс с Кларой и действует в рамках протокола:

4. ${\displaystyle Bob\to \{B,C\}\to Trent}$

5. ${\displaystyle Trent\to \{S_T(B,K_B,T_T),S_T(C,K_C,T_T)\}\to Bob}$

• На последнем шаге протокола Боб воспроизводит в сеансе с Кларой сообщения ${\displaystyle S_A(K,T_A)}$ и ${\displaystyle S_T(A,K_A,T_T)}$, полученные от Алисы:

6. ${\displaystyle Bob\to \{E_C\left(S_A(K,T_A)\right),S_T(A,K_A,T_T),S_T(C,K_C,T_T)\}\to Clara}$

Клара успешно проверяет подпись доверенного центра на сертификате ${\displaystyle S_T(A,K_A,T_T)}$, расшифровывает сессионный ключ ${\displaystyle K}$ и проверяет подпись Алисы. В результате Клара уверена, что установила сеанс связи с Алисой, поскольку все необходимые шаги протокола были проделаны верно и все сообщения оказались корректны.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Книга:Шнайер Б.: Прикладная криптография
• Шаблон:Книга

Шаблон:Протоколы аутентификации и обмена ключами