Schimb de chei criptate

Schimbul de chei criptate (numit și EKE ) este o familie de metode de interacțiune între doi sau mai mulți participanți pentru autentificarea și partajarea unei chei criptografice de sesiune. Pe baza cunoașterii comune a unei parole comune, acestea au fost descrise de Steven M. Bellovin și Michael Merritt. ^[1] Unele variante ale EKE prezente în publicația originală au prezentat diferite puncte slabe, dar alte variante ale EKE, îmbunătățite și îmbunătățite, au făcut din EKE prima metodă eficientă pentru obținerea unei chei de sesiune partajate și autentificare reciprocă utilizând o parolă partajată.

Cerințe

Pentru a fi considerat sigur, un protocol EKE trebuie să poată garanta robustețea împotriva diferitelor atacuri:

chiar dacă cele două părți au o parolă slabă, protocolul trebuie să fie puternic împotriva atacurilor off-line ( dicționar , forță brută ) asupra pachetelor schimbate;
protocolul trebuie să fie robust împotriva atacurilor de redare .

DH-EKE

Una dintre versiunile din publicația originală și sigură se bazează pe metoda de schimb a cheilor Diffie-Hellman . Protocolul este prezentat mai jos. Asuma ca $LA$ ${\ displaystyle A}$ $LA$ este clientul, $S.$ ${\ displaystyle S}$ $S.$ atât serverul cât și $w$ ${\ displaystyle w}$ $w$ este $H(password)$ ${\ displaystyle H (parolă)}$ ${\ displaystyle H (parolă)}$ cu $H.$ ${\ displaystyle H}$ $H.$ funcție hash criptografică .

A\rightarrow S:w[g^{a}mod(p)]

{\ displaystyle A \ rightarrow S: w [g ^ {a} mod (p)]}

{\ displaystyle A \ rightarrow S: w [g ^ {a} mod (p)]}

cu $w[g^{a}mod(p)]$ ${\ displaystyle w [g ^ {a} mod (p)]}$ ${\ displaystyle w [g ^ {a} mod (p)]}$ indicăm criptarea cu un algoritm cu cheie simetrică de $g^{a}mod(p)$ ${\ displaystyle g ^ {a} mod (p)}$ ${\ displaystyle g ^ {a} mod (p)}$ cu cheia $w$ ${\ displaystyle w}$ $w$

S\rightarrow A:K(n_{1}),w[g^{b}mod(p)]

{\ displaystyle S \ rightarrow A: K (n_ {1}), w [g ^ {b} mod (p)]}

{\ displaystyle S \ rightarrow A: K (n_ {1}), w [g ^ {b} mod (p)]}

$S.$ ${\ displaystyle S}$ $S.$ calculează K ca $k=g^{ab}mod(p)$ ${\ displaystyle k = g ^ {ab} mod (p)}$ ${\ displaystyle k = g ^ {ab} mod (p)}$ și alege o nonce $n_{1}$ ${\ displaystyle n_ {1}}$ ${\ displaystyle n_ {1}}$

A\rightarrow S:K(n_{1},n_{2})

{\ displaystyle A \ rightarrow S: K (n_ {1}, n_ {2})}

{\ displaystyle A \ rightarrow S: K (n_ {1}, n_ {2})}

$LA$ ${\ displaystyle A}$ $LA$ poate decripta provocarea $K(n_{1})$ ${\ displaystyle K (n_ {1})}$ ${\ displaystyle K (n_ {1})}$ selectați un nou nonce $n_{2}$ ${\ displaystyle n_ {2}}$ ${\ displaystyle n_ {2}}$ . În acest fel trimite o provocare către server și în același timp arată că știe $K.$ ${\ displaystyle K}$ $K.$ autentificându-se ca $LA$ ${\ displaystyle A}$ $LA$ la server

S\rightarrow A:K(n_{2})

{\ displaystyle S \ rightarrow A: K (n_ {2})}

{\ displaystyle S \ rightarrow A: K (n_ {2})}

serverul răspunde provocării autentificându-se la $LA$ ${\ displaystyle A}$ $LA$ . De aici înainte, cei doi actori de protocol sunt autentificați și au o cheie de sesiune. Rețineți că un atac cu forță brută asupra mesajelor criptate cu $w$ ${\ displaystyle w}$ $w$ sunt impracticabile deoarece un atacator nu poate verifica (decât prin încercări online) dacă decriptarea a avut succes. Cantitatea $g^{a}mod(p)$ ${\ displaystyle g ^ {a} mod (p)}$ ${\ displaystyle g ^ {a} mod (p)}$ este de fapt aleatoriu. Același motiv (alegerea cantității $la$ ${\ displaystyle a}$ $la$ Și $b$ ${\ displaystyle b}$ $b$ aleatoriu securizează protocolul împotriva răspunsului-atac).

Vulnerabilitate DH-EKE

DH-EKE este vulnerabil la un atac de descoperire pe baza de date a serverului. De fapt, dacă un atacator a reușit să fure hashul $w$ ${\ displaystyle w}$ $w$ ar putea organiza un protocol de autentificare deghizându-se în server sau client.

Augmented-EKE

Pentru a elimina vulnerabilitatea anterioară, serverul nu păstrează parola, ci o cantitate derivată dintr-o funcție unidirecțională aplicată acesteia. În acest fel, un atacator care chiar fură informațiile prezente pe server nu le poate folosi pentru a înlocui clientul.

Notă

^ SM Bellovin și M. Merritt,Schimb de chei criptate: protocoale bazate pe parolă se asigură împotriva atacurilor de dicționar , proceduri ale simpozionului IEEE privind cercetarea în securitate și confidențialitate, Oakland , mai 1992.

linkuri externe

http://www.cs.columbia.edu/~smb/papers/aeke.ps

Portal de criptografie

Portal de securitate IT

[1] SM Bellovin și M. Merritt,Schimb de chei criptate: protocoale bazate pe parolă se asigură împotriva atacurilor de dicționar , proceduri ale simpozionului IEEE privind cercetarea în securitate și confidențialitate, Oakland , mai 1992.

[1]