Protocollo di Needham-Schroeder

Con il termine generico di protocollo di Needham-Schroeder si possono identificare due protocolli di comunicazione progettati per permettere comunicazioni cifrate su reti non sicure.

I protocolli furono proposti da Roger Needham e Michael Schroeder nel 1978.

Il protocollo di Needham-Schroeder a chiave segreta è basato sulla crittografia simmetrica ed è alla base del protocollo di rete Kerberos. Il protocollo permette di stabilire una chiave di sessione utilizzabile da due entità di rete per proteggere le successive comunicazioni.
Il protocollo di Needham-Schroeder a chiave pubblica è invece basato sulla crittografia asimmetrica e permette di assicurare la mutua autenticazione tra due entità di rete. Nella sua forma proposta non è sicuro.

Il protocollo a chiave segreta

Scenario

Alice ( $A$ ) e Bob ( $B$ ) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
$S$ è un server fidato, ovvero che gode della fiducia di entrambe le parti.
$K_{A S}$ è una chiave simmetrica nota esclusivamente ad $A$ e $S$ .
$K_{B S}$ è una chiave simmetrica nota esclusivamente a $B$ e $S$ .
$K_{A B}$ è una chiave simmetrica di sessione generata da $S$ durante l'esecuzione dei passi del protocollo.
$N_{A}$ e $N_{B}$ sono nonce crittografici, ovvero numeri casuali da usare una volta sola.

Si suppone che sia $A$ a cominciare la comunicazione.

Descrizione

Alice spedisce un messaggio al server con la sua identità e quella di Bob, per dichiarare che intende comunicare con Bob. Allega anche un numero $N_{A}$ :

A \to S : A, B, N_{A}

Il server genera la chiave di sessione $K_{A B}$ e risponde ad Alice inviandole:

la chiave $K_{A B}$ appena generata,
la coppia $(K_{A B}, A)$ criptata con la chiave $K_{B S}$ , in modo che possa essere inoltrata a Bob perché venga reso partecipe,
il nonce $N$ che assicura ad Alice che il messaggio è nuovo e che il server sta rispondendo a quel particolare messaggio.
B: l'inclusione dell'identificatore di Bob dice ad Alice con chi lei sta condividendo la chiave.

Il tutto è criptato con la chiave segreta $K_{A S}$ , nota solo ad Alice e al server:

S \to A : {N_{A}, K_{A B}, B, {K_{A B}, A}_{K_{B S}}}_{K_{A S}}

Alice comunica a Bob la chiave di sessione e il proprio identificativo, criptati con la chiave $K_{B S}$ , come comunicata dal server con il precedente messaggio. Bob può decriptare il messaggio e il fatto che sia stato cifrato da una entità fidata (il server) lo rende autentico:

A \to B : {K_{A B}, A}_{K_{B S}}

Bob risponde ad Alice con un nonce criptato con la chiave di sessione $K_{A B}$ , per mostrare che è in possesso della chiave:

B \to A : {N_{B}}_{K_{A B}}

Alice decifra il nonce di Bob, lo modifica con una semplice operazione, lo cifra nuovamente e lo rispedisce indietro, provando così che è ancora attiva e in possesso della chiave:

A \to B : {N_{B} - 1}_{K_{A B}}

Da questo momento in poi la comunicazione è pienamente stabilita e viene condotta da entrambe le parti inviando messaggi cifrati con la chiave di sessione $K_{A B}$ .

Vulnerabilità

Il protocollo è suscettibile ad attacchi di tipo replay.

Attacco Replay:

Se un attaccante $E$ conosce una vecchia chiave $K'_{A B}$ scambiata in una precedente esecuzione del protocollo, allora:

$E$ può replicare il messaggio ${K'_{A B}, A}_{K_{B S}}$ a Bob
Bob accetta la chiave $K'_{A B}$ non sapendo che è compromessa (quindi non sa che la chiave non è nuova)

Soluzione:

utilizzare i timestamp all'interno dei messaggi (ciò si vedrà come si utilizza nel protocollo di rete Kerberos)

Il protocollo a chiave pubblica

Scenario

Alice ( $A$ ) e Bob ( $B$ ) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
$S$ è un server che gode della fiducia di entrambi e si occupa di distribuire chiavi pubbliche su richiesta.
$K_{P A}$ e $K_{S A}$ sono rispettivamente la chiave pubblica e la chiave segreta di Alice.
$K_{P B}$ e $K_{S B}$ similmente sono le chiavi Bob.
$K_{P S}$ e $K_{S S}$ similmente sono le chiavi del server.

È importante specificare che mentre Alice e Bob usano la chiave pubblica per cifrare e quella privata per decifrare, il server usa la chiave privata $K_{S S}$ per cifrare e la chiave pubblica $K_{P S}$ per decifrare; così facendo il server firma le proprie comunicazioni.

Descrizione

Alice chiede al server la chiave pubblica di Bob:

A \to S : A, B

Il server risponde, inviando anche l'identificativo di Bob per conferma. Alice può usare la chiave pubblica $K_{P S}$ per verificare la firma di $S$ e verificarne l'autenticità confrontando l'id di Bob ricevuto con quello in suo possesso:

S \to A : {K_{P B}, B}_{K_{S S}}

Alice genera un nonce $N_{A}$ e lo invia a Bob cifrandolo con la chiave appena ricevuta:

A \to B : {N_{A}, A}_{K_{P B}}

Bob decifra il messaggio mediante la sua chiave privata, vede che è di Alice e richiede la sua chiave pubblica al server:

B \to S : B, A

Il server soddisfa la richiesta di Bob:

S \to B : {K_{P A}, A}_{K_{S S}}

Bob genera un nounce $N_{B}$ e lo invia ad Alice insieme a $N_{A}$ , per provare che è in possesso della chiave privata $K_{S B}$ :

B \to A : {N_{A}, N_{B}}_{K_{P A}}

Alice conferma $N_{B}$ a Bob per provare a sua volta che è in possesso della chiave privata $K_{S A}$

A \to B : {N_{B}}_{K_{P B}}

Da questo momento in poi Alice e Bob si sono autenticati a vicenda e sono gli unici a conoscenza di $N_{A}$ e $N_{B}$ .

Vulnerabilità

Il protocollo è suscettibile ad attacchi di tipo man in the middle: un impostore $I$ può ingannare Alice e convincerla a iniziare una sessione di comunicazione con lui e successivamente inoltrare i messaggi a Bob convincendolo di essere in comunicazione con Alice.

A parte le comunicazioni con $S$ , che rimangono inalterate, l'attacco si svolge come segue:

Alice invia $N_{A}$ a $I$ , che decifra il messaggio con $K_{S I}$ :

A \to I : {N_{A}, A}_{K_{P I}}

$I$ inoltra il messaggio a Bob, cifrandolo con la corrispettiva chiave pubblica, fingendo che sia Alice a voler comunicare con lui:

I \to B : {N_{A}, A}_{K_{P B}}

Bob risponde inviando $N_{B}$ . Questo messaggio arriva a $I$ , che non può decifrarlo perché non è in possesso di $K_{S A}$ :

B \to I : {N_{A}, N_{B}}_{K_{P A}}

$I$ lo inoltra ad Alice:

I \to A : {N_{A}, N_{B}}_{K_{P A}}

Alice crede che $N_{B}$ sia il nounce di $I$ , quindi lo conferma come da protocollo:

A \to I : {N_{B}}_{K_{P I}}

Ora $I$ conosce $N_{B}$ , lo cifra con $K_{P B}$ e invia a Bob, che vede una conferma valida.

I \to B : {N_{B}}_{K_{P B}}

$I$ agisce da "uomo nel mezzo" e intercetta tutti i messaggi di Bob, che crede di essere in comunicazione sicura con Alice.

L'attacco è stato descritto per la prima volta da Gavin Lowe nel 1995. La versione corretta del protocollo, chiamata Needham-Schroeder-Lowe, sostituisce il sesto messaggio

B \to A : {N_{A}, N_{B}}_{K_{P A}}

con

B \to A : {N_{A}, N_{B}, B}_{K_{P A}}

In questo modo Alice si può accorgere che i messaggi non arrivano dall'intruso, con cui aveva iniziato la comunicazione, ma da Bob.

Voci correlate

Altri progetti

Template:Interprogetto

Collegamenti esterni

Template:Portale

Protocollo di Needham-Schroeder

Indice

Il protocollo a chiave segreta

Scenario

Descrizione

Vulnerabilità

Il protocollo a chiave pubblica

Scenario

Descrizione

Vulnerabilità

Voci correlate

Altri progetti

Collegamenti esterni

Menu di navigazione

Protocollo di Needham-Schroeder

Il protocollo a chiave segreta

Scenario

Descrizione

Vulnerabilità

Il protocollo a chiave pubblica

Scenario

Descrizione

Vulnerabilità

Voci correlate

Altri progetti

Collegamenti esterni

Menu di navigazione

Ricerca