Протокол Ньюмана — Стабблбайна

Шаблон:Нет сносок

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_A,K_B,K_T}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_A^{-1},K_B^{-1},K_T^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_A,{\{...\}}_{K_A}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_B,{\{...\}}_{K_B}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle {\{...\}}_{K_B^{-1}},{\{...\}}_{K_A^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_K,{\{...\}}_K}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_A,T_B}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_A,R_B}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно

Протокол Ньюмана — Стабблбайна — симметричный протокол аутентификации и обмена ключами с использованием доверенной стороны. Является усовершенствованной версией протокола Yahalom. Особенностью протокола является отсутствие необходимости синхронизации часов у сторон, а также возможность повторной аутентификации без использования промежуточной стороны.

Криптографический протокол Ньюмана-Стабблбайна для удостоверения подписи и обмена ключами был впервые опубликован в 1993 году. Протокол является модификацией протокола Yahalom и разработан в Массачусетском технологическом институте (MIT) Клифордом Ньюманом и Стюартом Стабблбаном.

Алиса и Боб хотят безопасно обмениваться сообщениями, находясь на различных концах сети. Предполагается, что каждому пользователю Трент выделяет отдельный секретный ключ, и перед началом работы протокола все ключи уже находятся у пользователей.

Алиса отправляет Бобу сообщение, содержащее идентификатор Алисы и некоторое случайное число Алисы:

1. ${\displaystyle Alice\to \{A,R_A\}\to Bob}$

Боб объединяет идентификатор Алисы, ее случайное число и метку времени, шифрует сообщение общим с Трентом ключом и посылает его Тренту, добавив свой идентификатор и случайное число Боба:

2. ${\displaystyle Bob\to \{B,R_B,E_B(A,R_A,T_B)\}\to Trent}$

Трент генерирует сеансовый ключ ${\displaystyle K}$, а затем создает два сообщения. Первое включает идентификатор Боба, случайное число Алисы, случайный сеансовый ключ, метку времени и шифруется общим для Трента и Алисы ключом. Второе состоит из идентификатора Алисы, сеансового ключа, метки времени и шифруется общим для Трента и Боба ключом. Трент добавляет к ним случайное число Боба и отправляет Алисе:

3. ${\displaystyle Trent\to \{E_A(B,R_A,K,T_B),E_B(A,K,T_B),R_B\}\to Alice}$

Алиса извлекает ${\displaystyle K}$ и убеждается, что ${\displaystyle R_A}$ совпадает с тем, что было послано на этапе 1. Алиса отправляет Бобу два сообщения. Первое - это второе сообщение от Трента, зашифрованное ключом Боба. Второе - это случайное число Боба, зашифрованное сеансовым ключом.

4. ${\displaystyle Alice\to \{E_B(A,K,T_B),E_K\left(R_B\right)\}\to Bob}$

Боб расшифровывает сообщение своим ключом и убеждается, что значения ${\displaystyle T_B}$ и ${\displaystyle R_B}$ не изменились.

Если оба случайных числа и метка времени совпадают, то Алиса и Боб убеждаются в подлинности друг друга и получают секретный ключ. Нет необходимости синхронизировать часы, так как метка времени определяется только по часам Боба и только Боб проверяет созданную им метку времени.

Протокол обладает возможностью повторной аутентификации сторон без использования промежуточной стороны, но с использованием новых случайных чисел:

Алиса отправляет Бобу сообщение, присланное Трентом на этапе 3 и новое случайное число:

1. ${\displaystyle Alice\to \{E_B(A,K,T_B),R{\text{'}}_A\}\to Bob}$

Боб отправляет Алисе свое новое случайное число и случайное число Алисы, шифруя их сеансовым ключом:

2. ${\displaystyle Bob\to \{R{\text{'}}_B,E_K\left(R{\text{'}}_A\right)\}\to Alice}$

Алиса отправляет Бобу его новое случайное число, зашифрованное сеансовым ключом:

3. ${\displaystyle Alice\to \left\{E_K\left(R{\text{'}}_B\right)\right\}\to Bob}$

Использование новых случайных чисел ${\displaystyle R{\text{'}}_A}$ и ${\displaystyle R{\text{'}}_B}$ защищает от атаки с повторной передачей.

${\displaystyle I}$ (от англ. Intruder) - злоумышленник.

1. ${\displaystyle I(Alice)\to \{E_B(A,K,T_B),R{\text{'}}_A\}\to Bob}$
2. ${\displaystyle Bob\to \{R{\text{'}}_B,E_K\left(R{\text{'}}_A\right)\}\to I(Alice)}$
3. ${\displaystyle I(Alice)\to \{E_B(A,K,T_B),R{\text{'}}_B\}\to Bob}$
4. ${\displaystyle Bob\to \{R{\text{'}}_B,E_K\left(R{\text{'}}_B\right)\}\to I(Alice)}$
5. ${\displaystyle I(Alice)\to \left\{E_K\left(R{\text{'}}_B\right)\right\}\to Bob}$

1. ${\displaystyle I(Bob)\to \{B,R_B,E_B(A,K_0,T_B)\}\to Trent}$
2. ${\displaystyle Trent\to \{E_A(B,R_A,K_1,T_B),E_B(A,K_1,T_B),R_B\}\to I(Alice)}$
3. ${\displaystyle I(Bob)\to \{B,R_B,E_B(A,K_1,T_B)\}\to Trent}$
4. ${\displaystyle Trent\to \{E_A(B,R_A,K_2,T_B),E_B(A,K_2,T_B),R_B\}\to I(Alice)}$ и т.д.

В этой атаке злоумышленник может получить столько шифров ${\displaystyle E_B(A,K_i,T_B)}$, сколько необходимо для начала атаки на основе открытых текстов.

• Шаблон:Книга:Прикладная криптография
• Шаблон:Статья
• Шаблон:Статья

Шаблон:Протоколы аутентификации и обмена ключами