1
破坏基于预共享对称密钥的身份验证协议
考虑以下协议,该协议旨在将(爱丽丝)认证为(鲍勃),反之亦然。乙AAABBB A→B:B→A:A→B:“I'm Alice”,RAE(RA,K)E(⟨RA+1,PA⟩,K)A→B:“I'm Alice”,RAB→A:E(RA,K)A→B:E(⟨RA+1,PA⟩,K) \begin{align*} A \to B: &\quad \text{“I'm Alice”}, R_A \\ B \to A: &\quad E(R_A, K) \\ A \to B: &\quad E(\langle R_A+1, P_A\rangle, K) \\ \end{align*} RRR是随机随机数。 KKK是预共享的对称密钥。 PPP是一些有效载荷。 m KE(m,K)E(m,K)E(m, K)表示用加密的。mmmKKK 米1 米2⟨m1,m2⟩⟨m1,m2⟩\langle m_1, m_2\rangle表示将与组合在一起,可以进行明确的解码。m1m1m_1m2m2m_2 我们假设加密算法是安全的并且正确实现。 攻击者(Trudy)想要说服Bob接受她的有效载荷来自Alice(代替)。Trudy可以假冒Alice吗?怎么样?P 一PTPTP_TPAPAP_A 这与 Mark Stamp的“信息安全:原则与实践”中的练习9.6略有修改。在书籍版本中,没有,最后一条消息仅为,并且要求Trudy“说服Bob她是爱丽丝”。马克·斯坦普(Mark Stamp)要求我们找到两次攻击,而我发现的两次攻击允许Trudy伪造而不是。 PAPAP_AE(RA+1,K)E(RA+1,K)E(R_A+1,K)E(R+1,K)E(R+1,K)E(R+1,K)E(⟨R,PT⟩,K)E(⟨R,PT⟩,K)E(\langle R, P_T\rangle, …