Protocollo Station-to-Station

Il protocollo Station-to-Station (STS) è un protocollo crittografico per lo scambio di chiavi con autenticazione (authenticated key exchange, AKE). È una variante dello scambio di chiavi Diffie-Hellman, il quale è debole contro un attacco del tipo man-in-the-middle, dove un terzo utente si interpone nella conversazione e finge di essere il rispettivo interlocutore con entrambi i soggetti. Ideato da Whitfield Diffie, Paul C. van Oorschot e Michael J. Wiener, il protocollo venne originariamente presentato al 1987 International Switching Symposium (ISS87) e successivamente pubblicato in Template:Cita nel 1992. Questo metodo fornisce autenticazione tramite l'uso di firma digitale e certificati digitali.

La seguente descrizione prevede l'operazione di esponenziazione alla base dello scambio di chiavi, come da scambio Diffie-Hellman originale. Tuttavia, il metodo può essere modificato per funzionare, ad esempio, con crittografia a crittografia ellittica.

• Entrambe le parti devono avere una coppia di chiavi crittografiche (pubblica e privata) per potersi autenticare.
• Bisogna inoltre generare i parametri necessari a stabilire la chiave comune: un gruppo ciclico ${\displaystyle p}$ e un generatore ${\displaystyle g}$ per tale gruppo. Questi parametri possono essere pubblici. Per una maggiore sicurezza, ciascuna parte può stabilire i suoi parametri.^[1]

Segue la versione base del protocollo. Se un passo non può essere completato, il protocollo viene interrotto. Tutte le operazioni di esponenziazione appartengono al gruppo ${\displaystyle p}$.

1. Alice genera un numero casuale ${\displaystyle x}$ e calcola e invia ${\displaystyle g^x}$ a Bob.
2. Bob genera un numero casuale ${\displaystyle y}$ e calcola ${\displaystyle g^y}$.
3. Bob calcola la chiave segreta ${\displaystyle K=(g^x{)}^y}$.
4. Bob concatena le due potenze ${\displaystyle (g^y,g^x)}$ (l'ordine è importante), le firma con la sua chiave privata ${\displaystyle B}$, e cifra il tutto con la chiave segreta ${\displaystyle K}$. Invia il testo cifrato assieme alla potenza ${\displaystyle g^y}$ ad Alice.
5. Alice calcola la chiave segreta ${\displaystyle K=(g^y{)}^x}$.
6. Alice decifra la parte restante del messaggio di Bob ed effettua la verifica tramite la chiave pubblica di Bob.
7. Alice concatena le due potenze ${\displaystyle (g^x,g^y)}$ (l'ordine è importante), le firma con la sua chiave privata ${\displaystyle A}$, e cifra il tutto con la chiave segreta ${\displaystyle K}$. Invia il testo cifrato a Bob.
8. Bob decifra il messaggio di Alice ed effettua la verifica tramite la chiave pubblica di Alice.

Ora Alice e Bob sono mutuamente autenticati e posseggono una chiave segreta. Tale segreto, ${\displaystyle K}$, può essere usato per successive comunicazioni.

Questa versione del protocollo può essere formalizzata come segue:

1. Alice → Bob : ${\displaystyle g^x}$
2. Alice ← Bob : ${\displaystyle g^y,E_K(S_B(g^y,g^x))}$
3. Alice → Bob : ${\displaystyle E_K(S_A(g^x,g^y))}$

• Template:Cita pubblicazione
• Template:Cita pubblicazione
• Template:Cita pubblicazione
• Template:Cita pubblicazione

Template:Portale