Protocolo de Needham-Schroeder

El protocolo de Needham-Schroeder se refiere a uno de los dos protocolos de comunicación para uso sobre una red insegura, ambos propuestos por Roger Needham y Michael Schroeder en un artículo en 1978. Ellos son:

En este caso, Alice (A) inicia una comunicación con Bob (B). De esta manera,

El protocolo puede especificarse mediante la notación de protocolos de seguridad de la siguiente manera:

${displaystyle A ightarrow S:A,B,N_{A}}$

${displaystyle S ightarrow A:{N_{A},K_{AB},B,{K_{AB},A}_{K_{BS}}}_{K_{AS}}}$

${displaystyle A ightarrow B:{K_{AB},A}_{K_{BS}}}$

${displaystyle B ightarrow A:{N_{B}}_{K_{AB}}}$

${displaystyle A ightarrow B:{N_{B}-1}_{K_{AB}}}$

^[1]Para que este protocolo pueda ser usado, es necesario exigir que el método de cifrado usado no sea maleable. Esto es debido a que si el cifrado es maleable entonces el último paso, la comprobación de que Alice conoce la clave realizando un cifrado sobre el nonce, no es válida. Si por ejemplo el cifrado es one-time-pad y N es impar, cualquiera puede hallar el ${displaystyle {N_{B}-1}_{K_{AB}}}$ simplemente cambiando el último bit.

Este protocolo es vulnerable a un ataque de replay. Si un atacante almacena los mensajes de este protocolo y luego descubre el valor K_AB que fue usado, puede volver a enviarle el mensaje ${displaystyle {K_{AB},A}_{K_{BS}}}$ a Bob, quien lo aceptará y no será capaz de decir si la clave es reciente o no (a no ser que lleve un registro de todas las claves que él usó). Este fallo se resuelve en el protocolo Kerberos mediante la inclusión de un timestamp.

Este protocolo asume el uso de un algoritmo de cifrado de clave pública.

En este caso, Alice (A) y Bob (B) interactúan junto con un servidor de confianza (S) para la distribución de claves públicas a pedido. Estas claves son:

El protocolo se desarrolla de la siguiente manera:

${displaystyle A ightarrow S:A,B}$

${displaystyle S ightarrow A:{K_{PB},B}_{K_{SS}}}$

${displaystyle A ightarrow B:{N_{A},A}_{K_{PB}}}$

${displaystyle B ightarrow S:B,A}$

${displaystyle S ightarrow B:{K_{PA},A}_{K_{SS}}}$

${displaystyle B ightarrow A:{N_{A},N_{B}}_{K_{PA}}}$

${displaystyle A ightarrow B:{N_{B}}_{K_{PB}}}$

Al final del protocolo, A y B conocen la identidad del otro, N_A y N_B. Estos nonces son desconocidos para oyentes furtivos.

Desafortunadamente, este protocolo es vulnerable al ataque Man-in-the-middle. Si un impostor I es capaz de persuadir a A para que inicie una sesión con él, este puede reenviar los mensajes a B y hacerle creer a B de que se está comunicando con A.

Ignorando el tráfico desde y hacia S, que no varía, el ataque se desarrolla de la siguiente manera:

${displaystyle A ightarrow I:{N_{A},A}_{K_{PI}}}$

${displaystyle I ightarrow B:{N_{A},A}_{K_{PB}}}$

${displaystyle B ightarrow I:{N_{A},N_{B}}_{K_{PA}}}$

${displaystyle I ightarrow A:{N_{A},N_{B}}_{K_{PA}}}$

${displaystyle A ightarrow I:{N_{B}}_{K_{PI}}}$

${displaystyle I ightarrow B:{N_{B}}_{K_{PB}}}$

Al final del ataque, B cree erróneamente de que A se está comunicando con él y que N_A y N_B son conocidos únicamente por A y B.

El ataque fue descrito por primera vez en un artículo en 1995 por Gavin Lowe. El artículo describe también una versión arreglada del esquema, al cual se lo llama el protocolo de Needham-Schroeder-Lowe.

Escribe un comentario o lo que quieras sobre Protocolo de Needham-Schroeder (directo, no tienes que registrarte)

Comentarios
(de más nuevos a más antiguos)

Aún no hay comentarios, ¡deja el primero!