Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Атака 11.6. Атака на исправленный вариант протокола Ву-Лама с помощью отражения сообщений ИСХОДНЫЕ УСЛОВИЯ:
Те же, что и в протоколе 11.2.
1. Злоумышленник^"Алиса") —» Бобу: Алиса.
2. Боб —> Злоумышленнику("Алисе"): NB-
3. Злоумышленнике Алиса") —> Бобу: Nb-
4. Боб —» Злоумышленник("Трент"): {Ачиса,Боб,Мв}Квт .
5. Злоумышленник("Трент") —> Бобу: {Алиса,БоЬ~,Ив\квт ¦
6. Боб аутентифицирует Алису.
ПОСЛЕДСТВИЯ:
Боб думает, что установил контакт с Алисой, хотя Алиса вообще не выходила на связь.
В данном случае Злоумышленник организовывает атаку с помощью отражения сообщений дважды: сообщение 3 является отражением сообщения 2, а сообщение 5 — отражением сообщения 4. Атака является успешной, если в сообщениях 3 и 5 Боб не может обнаружить ничего подозрительного. Это условие хорошо согласуется с кодексом поведения законопослушного пользователя (раздел 11.3).
Глава 11. Протоколы аутентификации — принципы
427
Во-первых, случайное число, которое Боб получает в сообщении 3, на самом деле было сгенерировано им самим и послано вместе с сообщением 2. Однако Боб не может распознавать никаких посторонних сообщений и должен бездумно следовать протоколу. Аналогично случайное число, которое Боб получает в сообщении 5, также было сгенерировано им самим и послано вместе с сообщением 4. Однако Боб не помнит сообщения 4. Это также полностью соответствует кодексу поведения законопослушного пользователя (раздел 11.3). Итак, Боб не может заподозрить атаку.
Исправления, внесенные By и Ламом [302], не спасают положения: все они уязвимы для атаки с помощью отражения сообщений. Наиболее существенное исправление, П-f, в котором каждый зашифрованный текст должен содержать имена обоих участников протокола, по-прежнему не предотвращает атаку с помощью отражения сообщений, если Боб не реагирует на размер постороннего зашифрованного текста. Это вполне разумное предположение, поскольку по умолчанию Боб считается "наивным".
Более фундаментальная причина уязвимости протокола Ву-Лама и его вариантов исследуется в разделе 17.2.1, посвященном формальному доказательству корректности протоколов аутентификции. Правильный подход к разработке протоколов аутентификации изложен в разделе 17.2. Он позволяет исправить не только протокол Ву-Лама, но и многие другие протоколы. В разделе 17.2.3.2 будет показано, что исправленный протокол Ву-Лама (протокол 17.2) неуязвимым для любых известных атак.
11.7.5 Атака с помощью чередования сообщений
В ходе этой атаки Злоумышленник реализует несколько протоколов, чередуя сообщения. Злоумышленник составляет сообщение и посылает его одному из участников протокола, ожидая ответа. Затем он пересылает полученный ответ другому пользователю в рамках другого протокола, получает его ответ, пересылает очередному пользователю и т.д.
Некоторые авторы [34] считают, что атака с помощью чередования сообщений (interleaving attack) на самом деле является коллективным названием двух предыдущих атак, т.е. атаки с помощью параллельного сеанса и атаки с помощью отражения сообщений. Мы не разделяем эту точку зрения, поскольку атака с помощью чередования сообщений имеет более сложную конструкцию. Для того чтобы организовать успешную атаку с помощью чередования сообщений, Злоумышленник должен использовать последовательно связанные между собой сообщения, пересылаемые в рамках разных протоколов.
Атака Винера (атака 11.1) на первый вариант трехпроходного протокола взаимной аутентификации с открытым ключом, рассмотренный в разделе 11.4.2, представляет собой яркий пример атаки с помощью чередования сообщений. В ходе
428
Часть IV. Аутентификации
атаки Винера Злоумышленник инициирует сеанс связи с пользователем А, мао! кируясь пользователем ^(сообщение 1). Получив ответ от пользователя А (сои общение 2), Злоумышленник инициирует новый сеанс связи с пользователем В, маскируясь пользователем А (сообщение Г). В ответ пользователь В пересылаеш Злоумышленнику сообщение, которого ожидает пользователь А. Таким образоьв Злоумышленник может переслать пользователю А ожидаемый им ответ и завер! шить выполнение протокола. В отличие от атаки с помощью параллельного сеансу (например, атаки 11.5), атака с помощью чередования сообщений очень чувствие тельна к последовательности передаваемых сообщений.
Еще одним примером атаки с помощью чередования сообщений является атака на протокол STS, предназначенный только для аутентификации, осуществляемая с помощью замены сертификата и подписи. Эта атака тесно связана с атакой Винера. Кроме того, атака Лоу на протокол аутентификации с открытым ключош Нидхема-Шредера также относится к семейству атак с помощью чередование сообщений.
Как правило, такие атаки становятся возможными благодаря дефектам, при-| сущим протоколам взаимной аутентификации.
11.7.6 Атака на основе неправильной интерпретации
В атаке на основе неправильной интерпретации (attack due to type flaw) Злоумышленник использует тот факт, что законопослушный пользователь не спосо! бен распознавать семантический смысл сообщения или группы сообщений (замечание 11.1 и пример 11.1 в разделе 11.3).
