Protocolo Needham-Schroeder

El protocolo Needham-Schroeder es uno de los dos protocolos de transporte clave pensados para su uso en redes inseguras, ambos propuestos por Roger Needham y Michael Schroeder . ^[1] Estos son:

Protocolo de clave simétrica Needham-Schroeder , basado en un algoritmo de cifrado simétrico , constituye la base del protocolo Kerberos . Este protocolo tiene como objetivo establecer una clave de sesión entre dos partes de una red, normalmente para proteger la comunicación posterior.
Protocolo de clave pública Needham-Schroeder , basado en criptografía de clave pública . Este protocolo está pensado para proporcionar autenticación mutua entre dos partes que se comunican en una red, pero en su forma propuesta es inseguro.

Protocolo simétrico

Aquí , Alice inicia la comunicación con Bob . Es un servidor en el que ambas partes confían. En la comunicación: ${\estilo de visualización (A)}$ ${\estilo de visualización B}$ ${\estilo de visualización S}$

${\estilo de visualización A}$ y son identidades de Alice y Bob respectivamente ${\estilo de visualización B}$
${K_{AS}}$ es una clave simétrica conocida sólo por y ${\estilo de visualización A}$ ${\estilo de visualización S}$
$Estilo de visualización {K_{BS}}}$ es una clave simétrica conocida sólo por y ${\estilo de visualización B}$ ${\estilo de visualización S}$
$Estilo de visualización N_{A}$ y son nonces generados por y respectivamente $Estilo de visualización N_{B}$ ${\estilo de visualización A}$ ${\estilo de visualización B}$
$Estilo de visualización {K_{AB}}}$ es una clave simétrica, generada, que será la clave de sesión de la sesión entre y ${\estilo de visualización A}$ ${\estilo de visualización B}$

El protocolo se puede especificar de la siguiente manera en la notación de protocolo de seguridad :

A\rightarrow S:\left.A,B,N_{A}\right.

Alice envía un mensaje al servidor identificándose a sí misma y a Bob, diciéndole al servidor que desea comunicarse con Bob.

S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}

El servidor genera y envía de vuelta a Alice una copia cifrada para que Alice la reenvíe a Bob y también una copia para Alice. Dado que Alice puede estar solicitando claves para varias personas diferentes, el nonce le asegura a Alice que el mensaje es nuevo y que el servidor está respondiendo a ese mensaje en particular y la inclusión del nombre de Bob le dice a Alice con quién compartirá esta clave.

Estilo de visualización {K_{AB}}}

Estilo de visualización {K_{BS}}}

A\rightarrow B:\{K_{AB},A\}_{K_{BS}}

Alice envía la clave a Bob, quien puede descifrarla con la clave que comparte con el servidor, autenticando así los datos.

B\rightarrow A:\{N_{B}\}_{K_{AB}}

Bob le envía a Alice un nonce cifrado para demostrar que tiene la clave.

Estilo de visualización {K_{AB}}}

A\rightarrow B:\{N_{B}-1\}_{K_{AB}}

Alice realiza una operación simple en el nonce, lo vuelve a cifrar y lo envía de vuelta verificando que todavía está viva y que tiene la clave.

Ataques al protocolo

El protocolo es vulnerable a un ataque de repetición (como lo identificaron Denning y Sacco ^[2] ). Si un atacante usa un valor más antiguo y comprometido para ⁠ ⁠ $Estilo de visualización K_{AB}}$ , puede reproducir el mensaje a Bob, quien lo aceptará, sin poder saber que la clave no es nueva. $Estilo de visualización: KAB, A KBS$

Arreglando el ataque

Esta falla se corrige en el protocolo Kerberos mediante la inclusión de una marca de tiempo . También se puede corregir con el uso de nonces como se describe a continuación. ^[3] Al comienzo del protocolo:

A\rightarrow B:A

Alice le envía una solicitud a Bob.

B\rightarrow A:\{A,N_{B}'\}_{K_{BS}}

Bob responde con un nonce encriptado bajo su clave con el Servidor.

A\rightarrow S:\left.A,B,N_{A},\{A,N_{B}'\}_{K_{BS}}\right.

Alice envía un mensaje al servidor identificándose a sí misma y a Bob, diciéndole al servidor que desea comunicarse con Bob.

S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A,N_{B}'\}_{K_{BS}}\}_{K_{AS}}

Tenga en cuenta la inclusión del nonce.

El protocolo continúa luego como se describe a través de los tres pasos finales como se describe en el protocolo original anterior. Tenga en cuenta que es un nonce diferente de ⁠ ⁠ . La inclusión de este nuevo nonce evita la reproducción de una versión comprometida de ya que dicho mensaje tendría que ser de un formato que el atacante no pueda falsificar ya que no tiene ⁠ ⁠ . $Estilo de visualización N_{B}'}$ $Estilo de visualización N_{B}$ $Estilo de visualización: KAB, A KBS$ $\{K_{AB},A,N_{B}'\}_{K_{BS}}$ $Estilo de visualización KBS$

Protocolo de clave pública

Esto supone el uso de un algoritmo de cifrado de clave pública .

Aquí, Alice y Bob utilizan un servidor de confianza para distribuir claves públicas a pedido. Estas claves son: ${\estilo de visualización (A)}$ ${\estilo de visualización (B)}$ ${\estilo de visualización (S)}$

$Estilo de visualización KPA$ y , $Estilo de visualización KSA$ respectivamente, las mitades pública y privada de un par de claves de cifrado pertenecientes a ( significa "clave secreta" aquí ) ${\estilo de visualización A}$ ${\estilo de visualización S}$
$Estilo de visualización K_{PB}}$ y ⁠ ⁠ $Estilo de visualización KSB$ , similar perteneciente a ${\estilo de visualización B}$
$Estilo de visualización K_ {PS}}$ y ⁠ ⁠ $Estilo de visualización KSS$ , similar perteneciente a ⁠ ⁠ ${\estilo de visualización S}$ . (Tenga en cuenta que este par de claves se utilizará para firmas digitales , es decir, se utilizará para firmar un mensaje y se utilizará para verificación. debe ser conocido por y antes de que comience el protocolo). $Estilo de visualización KSS$ $Estilo de visualización K_ {PS}}$ $Estilo de visualización K_ {PS}}$ ${\estilo de visualización A}$ ${\estilo de visualización B}$

El protocolo funciona de la siguiente manera:

A\rightarrow S:\izquierda.A,B\derecha.

{\estilo de visualización A}

solicita las

{\estilo de visualización B}

claves públicas de .

{\estilo de visualización S}

S\rightarrow A:\{K_{PB},B\}_{K_{SS}}

{\estilo de visualización S}

responde con la clave pública junto con la identidad de ⁠ ⁠ , firmada por el servidor para fines de autenticación.

Estilo de visualización K_{PB}}

{\estilo de visualización B}

A\rightarrow B:\{N_{A},A\}_{K_{PB}}

{\estilo de visualización A}

elige uno al azar y lo envía a ⁠ ⁠ .

Estilo de visualización N_{A}

{\estilo de visualización B}

B\rightarrow S:\izquierda.B,A\derecha.

{\estilo de visualización B}

Ahora sabe que A quiere comunicarse, por lo que solicita las claves públicas de .

{\estilo de visualización B}

{\estilo de visualización A}

S\rightarrow B:\{K_{PA},A\}_{K_{SS}}

El servidor responde.

B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

{\estilo de visualización B}

elige un ⁠ ⁠

Estilo de visualización N_{B}

aleatorio y lo envía a junto con para demostrar la capacidad de descifrar con ⁠ ⁠ .

{\estilo de visualización A}

Estilo de visualización N_{A}

Estilo de visualización KSB

A\rightarrow B:\{N_{B}\}_{K_{PB}}

{\estilo de visualización A}

confirma que ⁠ ⁠ , demuestra la capacidad de descifrar con ⁠ ⁠ .

Estilo de visualización N_{B}

{\estilo de visualización B}

Estilo de visualización KSA

Al final del protocolo, y conocer las identidades de cada uno, y conocer ambos y ⁠ ⁠ . Estos nonces no son conocidos por los espías. ${\estilo de visualización A}$ ${\estilo de visualización B}$ $Estilo de visualización N_{A}$ $Estilo de visualización N_{B}$

Un ataque al protocolo

Este protocolo es vulnerable a un ataque de intermediario . Si un impostor puede persuadirlos para que inicien una sesión con ellos, pueden retransmitirles los mensajes y convencerlos de que se están comunicando con ellos . $I$ ${\estilo de visualización A}$ ${\estilo de visualización B}$ ${\estilo de visualización B}$ ${\estilo de visualización A}$

Ignorando el tráfico hacia y desde , que no cambia, el ataque se ejecuta de la siguiente manera: ${\estilo de visualización S}$

A\rightarrow I:\{N_{A},A\}_{K_{PI}}

{\estilo de visualización A}

envía a ⁠ ⁠ , quien descifra el mensaje con ⁠ ⁠ .

Estilo de visualización N_{A}

I

Estilo de visualización K_{SI}}

I\rightarrow B:\{N_{A},A\}_{K_{PB}}

I

transmite el mensaje a ⁠ ⁠

{\estilo de visualización B}

, simulando que se está comunicando.

{\estilo de visualización A}

B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}

{\estilo de visualización B}

Envía .

Estilo de visualización N_{B}

I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

I

lo transmite a ⁠ ⁠

{\estilo de visualización A}

A\rightarrow I:\{N_{B}\}_{K_{PI}}

A

lo descifra y lo confirma a quien lo aprende.

NB

I

I\rightarrow B:\{N_{B}\}_{K_{PB}}

I

vuelve a cifrarlo y

N_{B}

la convence de que lo ha descifrado.

B

Al final del ataque, cree falsamente que se está comunicando con él, y que y son conocidos sólo por y ⁠ ⁠ . $B$ $A$ $N_{A}$ $N_{B}$ $A$ $B$

El siguiente ejemplo ilustra el ataque. Alice ( ⁠ ⁠ $A$ ) desea contactar con su banco ( ⁠ ⁠ $B$ ). Suponemos que un impostor ( ⁠ ⁠ $I$ ) convence con éxito de que es el banco. Como consecuencia, usa la clave pública de en lugar de usar la clave pública de para cifrar los mensajes que pretende enviar a su banco. Por lo tanto, envía su nonce cifrado con la clave pública de ⁠ ⁠ . descifra el mensaje usando su clave privada y contacta enviándole el nonce de cifrado con la clave pública de . no tiene forma de saber que este mensaje fue realmente enviado por ⁠ ⁠ . responde con su propio nonce y cifra el mensaje con la clave pública de ⁠ ⁠ . Dado que no está en posesión de la clave privada de , tiene que retransmitir el mensaje a sin conocer el contenido. A descifra el mensaje con su clave privada y responde con el nonce de encrypted con la clave pública de ⁠ ⁠ . descifra el mensaje usando su clave privada y ahora está en posesión de nonce y ⁠ ⁠ . Por lo tanto, ahora pueden hacerse pasar por el banco y el cliente respectivamente. $A$ $A$ $I$ $B$ $A$ $I$ $I$ $I$ $B$ $A$ $B$ $B$ $I$ $B$ $A$ $I$ $A$ $A$ $B$ $I$ $I$ $A$ $B$

Cómo solucionar el ataque del hombre en el medio

El ataque fue descrito por primera vez en un artículo de 1995 de Gavin Lowe . ^[4] El artículo también describe una versión corregida del esquema, conocida como el protocolo Needham–Schroeder–Lowe . La solución implica la modificación del mensaje seis para incluir la identidad del respondedor, es decir, reemplazamos:

B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}

con la versión corregida:

B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}

y el intruso no puede reproducir exitosamente el mensaje porque A espera un mensaje que contenga la identidad de I mientras que el mensaje tendrá la identidad de ⁠ ⁠ $B$ .

Véase también

Referencias

^ Needham, Roger; Schroeder, Michael (diciembre de 1978). "Uso de cifrado para autenticación en grandes redes de computadoras". Comunicaciones de la ACM . 21 (12): 993–999. CiteSeerX 10.1.1.357.4298 . doi :10.1145/359657.359659. S2CID 7704786.
^ Denning, Dorothy E. ; Sacco, Giovanni Maria (1981). "Marcas de tiempo en protocolos de distribución de claves". Comunicaciones de la ACM . 24 (8): 533–535. doi : 10.1145/358722.358740 . S2CID 3228356.
^ Needham, RM ; Schroeder, MD (1987). "Autenticación revisada". Revisión de sistemas operativos ACM SIGOPS . 21 (1): 7. doi : 10.1145/24592.24593 . S2CID 33658476.
^ Lowe, Gavin (noviembre de 1995). "Un ataque al protocolo de autenticación de clave pública Needham-Schroeder". Information Processing Letters . 56 (3): 131–136. CiteSeerX 10.1.1.394.6094 . doi :10.1016/0020-0190(95)00144-2 . Consultado el 17 de abril de 2008 .

Enlaces externos

Wikimedia Commons alberga una categoría multimedia sobre Protocolo Needham-Schroeder .

Roger Needham; Michael Schroeder (1978). "Clave pública de Needham-Schroeder". Laboratorio de especificación y verificación.
Roger Needham; Michael Schroeder (1978). "Clave simétrica de Needham Schroeder". Laboratorio de especificación y verificación.
Gavin Lowe (1995). "Versión fija de Lowe's de la clave pública de Needham-Schroder". Laboratorio de especificación y verificación.
Explicación del ataque man-in-the-middle de Computerphile .