El protocolo Otway-Rees [1] es un protocolo de autenticación de redes informáticas diseñado para su uso en redes inseguras (por ejemplo, Internet ). Permite que las personas que se comunican a través de una red de este tipo demuestren su identidad entre sí, al mismo tiempo que evita los ataques de escuchas clandestinas o de reproducción y permite la detección de modificaciones.
El protocolo se puede especificar de la siguiente manera en la notación de protocolo de seguridad , donde A se autentica a sí misma ante B ob utilizando un servidor S ( M es un identificador de sesión, N A y N B son nonces ):
Nota: Los pasos anteriores no autentican a B ante A.
Este es uno de los protocolos analizados por Burrows, Abadi y Needham en el artículo [2] que introdujo una versión temprana de la lógica de Burrows–Abadi–Needham . [3]
Actualmente hay publicados una variedad de ataques a este protocolo.
Estos ataques dejan al intruso con la clave de sesión y pueden excluir a una de las partes de la conversación.
Boyd y Mao [4] observan que la descripción original no requiere que S compruebe que el texto simple A y B sean iguales a los de A y B en los dos textos cifrados. Esto permite que un intruso que se hace pasar por B intercepte el primer mensaje y luego envíe el segundo mensaje a S, que construye el segundo texto cifrado utilizando su propia clave y se nombra a sí mismo en el texto simple . El protocolo termina con A compartiendo una clave de sesión con el intruso en lugar de B.
Gürgens y Peralta [5] describen otro ataque al que denominan ataque de aridad. En este ataque, el intruso intercepta el segundo mensaje y responde a B utilizando los dos textos cifrados del mensaje 2 en el mensaje 3. En ausencia de cualquier comprobación que lo impida, M (o quizás M,A,B ) se convierte en la clave de sesión entre A y B y es conocida por el intruso.
Cole describe tanto el ataque de aridad de Gürgens y Peralta como otro ataque en su libro Hackers Beware. [6] En este, el intruso intercepta el primer mensaje, elimina el texto simple A,B y lo usa como mensaje 4 omitiendo los mensajes 2 y 3. Esto deja a A comunicándose con el intruso usando M (o M,A,B ) como clave de sesión.
Este ataque permite al intruso interrumpir la comunicación, pero no le permite acceder a ella.
Un problema con este protocolo es que un intruso malintencionado puede hacer que A y B terminen con claves diferentes. Así es como se hace: después de que A y B ejecuten los primeros tres mensajes, B ha recibido la clave . El intruso intercepta entonces el cuarto mensaje. Reenvía el mensaje 2, lo que hace que S genere una nueva clave , que posteriormente se envía a B . El intruso también intercepta este mensaje, pero envía a A la parte que B habría enviado a A . Así que ahora A finalmente ha recibido el cuarto mensaje esperado, pero con en lugar de .
{{cite journal}}
: Requiere citar revista |journal=
( ayuda )