Протокол Деннинг — Сакко

Криптографические обозначения, используемые в протоколах проверки подлинности и обмена ключами

${\displaystyle A}$	Идентификаторы Алисы (Alice), инициатора сессии
${\displaystyle B}$	Идентификатор Боба (Bob), стороны, с которой устанавливается сессия
${\displaystyle T}$	Идентификатор Трента (Trent), доверенной промежуточной стороны
${\displaystyle K_{A},K_{B},K_{T}}$	Открытые ключи Алисы, Боба и Трента
${\displaystyle K_{A}^{-1},K_{B}^{-1},K_{T}^{-1}}$	Секретные ключи Алисы, Боба и Трента
${\displaystyle E_{A},\left\{...\right\}_{K_{A}}}$	Шифрование данных ключом Алисы, либо совместным ключом Алисы и Трента
${\displaystyle E_{B},\left\{...\right\}_{K_{B}}}$	Шифрование данных ключом Боба, либо совместным ключом Боба и Трента
${\displaystyle \left\{...\right\}_{K_{B}^{-1}},\left\{...\right\}_{K_{A}^{-1}}}$	Шифрование данных секретными ключами Алисы, Боба (цифровая подпись)
${\displaystyle I}$	Порядковый номер сессии (для предотвращения атаки с повтором)
${\displaystyle K}$	Случайный сеансовый ключ, который будет использоваться для симметричного шифрования данных
${\displaystyle E_{K},\left\{...\right\}_{K}}$	Шифрование данных временным сеансовым ключом
${\displaystyle T_{A},T_{B}}$	Метки времени, добавляемые в сообщения Алисой и Бобом соответственно
${\displaystyle R_{A},R_{B}}$	Случайные числа (nonce), которые были выбраны Алисой и Бобом соответственно
${\displaystyle K_{A},K_{B},K_{T}}$	Заранее созданные пары открытых и закрытых ключей Алисы, Боба и Трента соответственно
${\displaystyle K_{p}}$	Случайная сеансовая пара открытого и закрытого ключей, которая будет использоваться для асимметричного шифрования
${\displaystyle S_{A},S_{B},}$${\displaystyle S_{T},S_{K_{p}}}$	Подписывание данных с использованием закрытого ключа Алисы, Боба, промежуточной стороны (Trent) или закрытого ключа из случайной пары соответственно
${\displaystyle E_{K_{A}},E_{K_{B}},}$${\displaystyle E_{K_{T}},E_{K_{p}}}$	Асимметричное шифрование данных с использованием открытого ключа Алисы, Боба, промежуточной стороны (Trent) или открытого ключа из случайной пары соответственно

Протокол Деннинг — Сакко^[1] — общее название для симметричного и асимметричного протоколов распространения ключей с использованием доверенной стороны.

В 1981 году сотрудники университета Пердью (англ. Purdue University) Дороти Деннинг (англ. Dorothy E. Denning) и Джованни Мария Сакко (англ. Giovanni Maria Sacco) представили атаку на протокол Нидхема — Шрёдера и предложили свою модификацию протокола, основанную на использовании временны́х меток^[2].

При симметричном шифровании предполагается, что секретный ключ, принадлежащий клиенту, известен только ему и некоторой третьей доверенной стороне — серверу аутентификации. В ходе выполнения протокола клиенты (Алиса, Боб) получают от сервера аутентификации (Трент) новый секретный сессионный ключ для шифрования взаимных сообщений в текущем сеансе связи. Рассмотрим реализацию протокола Деннинг — Сакко с симметричным ключом^[3]:

1. ${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$
2. ${\displaystyle Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice}$
3. ${\displaystyle Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob}$

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

Трент генерирует сессионный ключ ${\displaystyle K}$ и отправляет Алисе зашифрованное сообщение, которое включает в себя идентификатор Боба, сессионный ключ, метку времени и пакет ${\displaystyle \left\{A,K,T_{T}\right\}_{K_{B}}}$, выполняющий роль сертификата Алисы:

${\displaystyle Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice}$

Затем Алиса расшифровывает сообщение Трента и отправляет Бобу свой сертификат ${\displaystyle \left\{A,K,T_{T}\right\}_{K_{B}}}$:

${\displaystyle Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob}$

По окончании протокола у Алисы и Боба есть общий сеансовый ключ ${\displaystyle K}$.

Алиса и Боб могут убедиться в том, что полученные ими сообщения валидные, с помощью проверки меток времени ${\displaystyle T_{T}}$.

В 1997 году Гэвин Лоу (англ. Gavin Lowe) представил атаку на протокол^[4]:

• Алиса и Боб завершают сеанс протокола, в результате чего у сторон вырабатывается сессионный ключ ${\displaystyle K}$:

1. ${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

2. ${\displaystyle Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice}$

3. ${\displaystyle Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob}$

• Далее злоумышленник повторяет последнее сообщение Алисы:

4. ${\displaystyle Attacker\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob}$

Действия злоумышленника приводят к тому, что Боб решает, будто Алиса хочет установить с ним новое соединение.

В той же работе Лоу предложил модификацию протокола, в которой обеспечивается аутентификация Алисы перед Бобом^[4]:

• Сначала Алиса и Боб полностью повторяют сеанс протокола:

1. ${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

2. ${\displaystyle Trent\to \left\{B,K,T_{T},\left\{A,K,T_{T}\right\}_{K_{B}}\right\}_{K_{A}}\to Alice}$

3. ${\displaystyle Alice\to \left\{A,K,T_{T}\right\}_{K_{B}}\to Bob}$

• Затем Боб генерирует случайное число, шифрует его на сессионном ключе ${\displaystyle K}$ и отправляет Алисе:

4. ${\displaystyle Bob\to \left\{R_{B}\right\}_{K}\to Alice}$

• Алиса расшифровывает сообщение Боба, прибавляет к ${\displaystyle R_{B}}$ единицу, шифрует полученный результат на сессионном ключе ${\displaystyle K}$ и отправляет Бобу:

5. ${\displaystyle Alice\to \left\{R_{B}+1\right\}_{K}\to Bob}$

После того как Боб расшифрует сообщение Алисы, он сможет проверить факт владения Алисы сессионным ключом ${\displaystyle K}$.

В рамках протокола Боб никак не подтверждает получение нового сессионного ключа ${\displaystyle K}$ и возможность им оперировать. Сообщение от Алисы на 5-м проходе могло быть перехвачено или изменено злоумышленником. Но никакого ответа Алиса от Боба уже не ожидает и уверена, что протокол завершился успешно.

Асимметричный вариант протокола Деннинг — Сакко. Сервер аутентификации владеет открытыми ключами всех клиентов. Рассмотрим реализацию протокола Деннинг — Сакко с открытым ключом^[5]:

1. ${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$
2. ${\displaystyle Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice}$
3. ${\displaystyle Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob}$

Первое сообщение от Алисы к Тренту содержит в себе идентификаторы участников предстоящего обмена — Алисы и Боба. Данное сообщение посылается открытым текстом:

${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

В ответ Трент отправляет Алисе подписанные сертификаты открытых ключей Алисы и Боба. Дополнительно в каждый сертификат добавляются временные метки:

${\displaystyle Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice}$

Алиса генерирует новый сессионный ключ ${\displaystyle K}$ и отправляет его Бобу вместе с меткой времени ${\displaystyle T_{A}}$, подписав это своим ключом и зашифровав это открытым ключом Боба, вместе с обоими сообщениями, полученными от Трента:

${\displaystyle Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob}$

Боб проверяет подпись доверенного центра на сертификате ${\displaystyle S_{T}\left(A,K_{A},T_{T}\right)}$, расшифровывает сессионный ключ ${\displaystyle K}$ и проверяет подпись Алисы.

Абади и Нидхем описали атаку на протокол^[6], в ходе которой Боб, получив сообщение от Алисы, может выдать себя за неё в сеансе с другим пользователем. Отсутствие в сообщении от Алисы ${\displaystyle E_{K_{B}}\left(S_{A}\left(K,T_{A}\right)\right)}$ идентификатора Боба приводит к тому, что Боб может использовать принятые от Алисы данные для того, чтобы выдать себя за Алису в новом сеансе с третьей стороной (Кларой).

• Сначала Алиса и Боб проводят стандартный сеанс протокола, выработав новый сессионный ключ ${\displaystyle K}$:

1. ${\displaystyle Alice\to \left\{A,B\right\}\to Trent}$

2. ${\displaystyle Trent\to \left\{S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Alice}$

3. ${\displaystyle Alice\to \left\{E_{B}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(B,K_{B},T_{T}\right)\right\}\to Bob}$

• После этого Боб инициирует новый сеанс с Кларой и действует в рамках протокола:

4. ${\displaystyle Bob\to \left\{B,C\right\}\to Trent}$

5. ${\displaystyle Trent\to \left\{S_{T}\left(B,K_{B},T_{T}\right),S_{T}\left(C,K_{C},T_{T}\right)\right\}\to Bob}$

• На последнем шаге протокола Боб воспроизводит в сеансе с Кларой сообщения ${\displaystyle S_{A}\left(K,T_{A}\right)}$ и ${\displaystyle S_{T}\left(A,K_{A},T_{T}\right)}$, полученные от Алисы:

6. ${\displaystyle Bob\to \left\{E_{C}\left(S_{A}\left(K,T_{A}\right)\right),S_{T}\left(A,K_{A},T_{T}\right),S_{T}\left(C,K_{C},T_{T}\right)\right\}\to Clara}$

Клара успешно проверяет подпись доверенного центра на сертификате ${\displaystyle S_{T}\left(A,K_{A},T_{T}\right)}$, расшифровывает сессионный ключ ${\displaystyle K}$ и проверяет подпись Алисы. В результате Клара уверена, что установила сеанс связи с Алисой, поскольку все необходимые шаги протокола были проделаны верно и все сообщения оказались корректны.

• Dorothy E. Denning, Giovanni Maria Sacco. Timestamps in key distribution protocols (англ.) // Commun. ACM. — New York, NY, USA: ACM, 1981. — Vol. 24, iss. Aug, 1981, no. 8. — P. 533—536. — ISSN 0001-0782. — doi:10.1145/358722.358740.
• Gavin Lowe. A family of attacks upon authentication protocols (англ.). — Department of Mathematics and Computer Science, 1997.
• M. Abadi, R. Needham. Prudent Engineering Practice for Cryptographic Protocols (англ.) // IEEE Transactions on software engineering. — 1996. — January (vol. 22, no. 1).
• Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си = Applied Cryptography. Protocols, Algorithms and Source Code in C. — М.: Триумф, 2002. — 816 с. — 3000 экз. — ISBN 5-89392-055-4.
• Венбо Мао. Современная криптография: теория и практика = Modern Cryptography: Theory and Practice. — Издательский дом "Вильямс", 2005. — ISBN 5-8459-0847-7.