Protocollo di Needham-Schroeder

Con il termine generico di protocollo di Needham-Schroeder si possono identificare due protocolli di comunicazione progettati per permettere comunicazioni cifrate su reti non sicure.

I protocolli furono proposti da Roger Needham e Michael Schroeder nel 1978.

• Il protocollo di Needham-Schroeder a chiave segreta è basato sulla crittografia simmetrica ed è alla base del protocollo di rete Kerberos. Il protocollo permette di stabilire una chiave di sessione utilizzabile da due entità di rete per proteggere le successive comunicazioni.
• Il protocollo di Needham-Schroeder a chiave pubblica è invece basato sulla crittografia asimmetrica e permette di assicurare la mutua autenticazione tra due entità di rete. Nella sua forma proposta non è sicuro.

Il protocollo a chiave segreta[modifica | modifica wikitesto]

Scenario[modifica | modifica wikitesto]

• Alice (${\displaystyle A}$) e Bob (${\displaystyle B}$) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
• ${\displaystyle S}$ è un server fidato, ovvero che gode della fiducia di entrambe le parti.
• ${\displaystyle K_{AS}}$ è una chiave simmetrica nota esclusivamente ad ${\displaystyle A}$ e ${\displaystyle S}$.
• ${\displaystyle K_{BS}}$ è una chiave simmetrica nota esclusivamente a ${\displaystyle B}$ e ${\displaystyle S}$.
• ${\displaystyle K_{AB}}$ è una chiave simmetrica di sessione generata da ${\displaystyle S}$ durante l'esecuzione dei passi del protocollo.
• ${\displaystyle N_{A}}$ e ${\displaystyle N_{B}}$ sono nonce crittografici, ovvero numeri casuali da usare una volta sola.

Si suppone che sia ${\displaystyle A}$ a cominciare la comunicazione.

Descrizione[modifica | modifica wikitesto]

Alice spedisce un messaggio al server con la sua identità e quella di Bob, per dichiarare che intende comunicare con Bob. Allega anche un numero ${\displaystyle N_{A}}$:

${\displaystyle A\rightarrow S:A,B,N_{A}}$

Il server genera la chiave di sessione ${\displaystyle {K_{AB}}}$ e risponde ad Alice inviandole:

• la chiave ${\displaystyle {K_{AB}}}$ appena generata,
• la coppia ${\displaystyle (K_{AB},A)}$ criptata con la chiave ${\displaystyle K_{BS}}$, in modo che possa essere inoltrata a Bob perché venga reso partecipe,
• il nonce ${\displaystyle N}$ che assicura ad Alice che il messaggio è nuovo e che il server sta rispondendo a quel particolare messaggio.
• B: l'inclusione dell'identificatore di Bob dice ad Alice con chi lei sta condividendo la chiave.

Il tutto è criptato con la chiave segreta ${\displaystyle K_{AS}}$, nota solo ad Alice e al server:

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}}$

Alice comunica a Bob la chiave di sessione e il proprio identificativo, criptati con la chiave ${\displaystyle K_{BS}}$, come comunicata dal server con il precedente messaggio. Bob può decriptare il messaggio e il fatto che sia stato cifrato da una entità fidata (il server) lo rende autentico:

${\displaystyle A\rightarrow B:\{K_{AB},A\}_{K_{BS}}}$

Bob risponde ad Alice con un nonce criptato con la chiave di sessione ${\displaystyle {K_{AB}}}$, per mostrare che è in possesso della chiave:

${\displaystyle B\rightarrow A:\{N_{B}\}_{K_{AB}}}$

Alice decifra il nonce di Bob, lo modifica con una semplice operazione, lo cifra nuovamente e lo rispedisce indietro, provando così che è ancora attiva e in possesso della chiave:

${\displaystyle A\rightarrow B:\{N_{B}-1\}_{K_{AB}}}$

Da questo momento in poi la comunicazione è pienamente stabilita e viene condotta da entrambe le parti inviando messaggi cifrati con la chiave di sessione ${\displaystyle K_{AB}}$.

Vulnerabilità[modifica | modifica wikitesto]

Il protocollo è suscettibile ad attacchi di tipo replay.

Attacco Replay:

Se un attaccante ${\displaystyle E}$ conosce una vecchia chiave ${\displaystyle K'_{AB}}$ scambiata in una precedente esecuzione del protocollo, allora:

• ${\displaystyle E}$ può replicare il messaggio ${\displaystyle \{K'_{AB},A\}_{K_{BS}}}$ a Bob
• Bob accetta la chiave ${\displaystyle K'_{AB}}$ non sapendo che è compromessa (quindi non sa che la chiave non è nuova)

Soluzione:

utilizzare i timestamp all'interno dei messaggi (ciò si vedrà come si utilizza nel protocollo di rete Kerberos)

Il protocollo a chiave pubblica[modifica | modifica wikitesto]

Scenario[modifica | modifica wikitesto]

• Alice (${\displaystyle A}$) e Bob (${\displaystyle B}$) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
• ${\displaystyle S}$ è un server che gode della fiducia di entrambi e si occupa di distribuire chiavi pubbliche su richiesta.
• ${\displaystyle K_{PA}}$ e ${\displaystyle K_{SA}}$ sono rispettivamente la chiave pubblica e la chiave segreta di Alice.
• ${\displaystyle K_{PB}}$ e ${\displaystyle K_{SB}}$ similmente sono le chiavi Bob.
• ${\displaystyle K_{PS}}$ e ${\displaystyle K_{SS}}$ similmente sono le chiavi del server.

È importante specificare che mentre Alice e Bob usano la chiave pubblica per cifrare e quella privata per decifrare, il server usa la chiave privata ${\displaystyle K_{SS}}$ per cifrare e la chiave pubblica ${\displaystyle K_{PS}}$ per decifrare; così facendo il server firma le proprie comunicazioni.

Descrizione[modifica | modifica wikitesto]

Alice chiede al server la chiave pubblica di Bob:

${\displaystyle A\rightarrow S:A,B}$

Il server risponde, inviando anche l'identificativo di Bob per conferma. Alice può usare la chiave pubblica ${\displaystyle K_{PS}}$ per verificare la firma di ${\displaystyle S}$ e verificarne l'autenticità confrontando l'id di Bob ricevuto con quello in suo possesso:

${\displaystyle S\rightarrow A:\{K_{PB},B\}_{K_{SS}}}$

Alice genera un nonce ${\displaystyle N_{A}}$ e lo invia a Bob cifrandolo con la chiave appena ricevuta:

${\displaystyle A\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

Bob decifra il messaggio mediante la sua chiave privata, vede che è di Alice e richiede la sua chiave pubblica al server:

${\displaystyle B\rightarrow S:B,A}$

Il server soddisfa la richiesta di Bob:

${\displaystyle S\rightarrow B:\{K_{PA},A\}_{K_{SS}}}$

Bob genera un nounce ${\displaystyle N_{B}}$ e lo invia ad Alice insieme a ${\displaystyle N_{A}}$, per provare che è in possesso della chiave privata ${\displaystyle K_{SB}}$:

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

Alice conferma ${\displaystyle N_{B}}$ a Bob per provare a sua volta che è in possesso della chiave privata ${\displaystyle K_{SA}}$

${\displaystyle A\rightarrow B:\{N_{B}\}_{K_{PB}}}$

Da questo momento in poi Alice e Bob si sono autenticati a vicenda e sono gli unici a conoscenza di ${\displaystyle N_{A}}$ e ${\displaystyle N_{B}}$.

Vulnerabilità[modifica | modifica wikitesto]

Il protocollo è suscettibile ad attacchi di tipo man in the middle: un impostore ${\displaystyle I}$ può ingannare Alice e convincerla a iniziare una sessione di comunicazione con lui e successivamente inoltrare i messaggi a Bob convincendolo di essere in comunicazione con Alice.

A parte le comunicazioni con ${\displaystyle S}$, che rimangono inalterate, l'attacco si svolge come segue:

Alice invia ${\displaystyle N_{A}}$ a ${\displaystyle I}$, che decifra il messaggio con ${\displaystyle K_{SI}}$:

${\displaystyle A\rightarrow I:\{N_{A},A\}_{K_{PI}}}$

${\displaystyle I}$ inoltra il messaggio a Bob, cifrandolo con la corrispettiva chiave pubblica, fingendo che sia Alice a voler comunicare con lui:

${\displaystyle I\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

Bob risponde inviando ${\displaystyle N_{B}}$. Questo messaggio arriva a ${\displaystyle I}$, che non può decifrarlo perché non è in possesso di ${\displaystyle K_{SA}}$:

${\displaystyle B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle I}$ lo inoltra ad Alice:

${\displaystyle I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

Alice crede che ${\displaystyle N_{B}}$ sia il nounce di ${\displaystyle I}$, quindi lo conferma come da protocollo:

${\displaystyle A\rightarrow I:\{N_{B}\}_{K_{PI}}}$

Ora ${\displaystyle I}$ conosce ${\displaystyle N_{B}}$, lo cifra con ${\displaystyle K_{PB}}$ e invia a Bob, che vede una conferma valida.

${\displaystyle I\rightarrow B:\{N_{B}\}_{K_{PB}}}$

${\displaystyle I}$ agisce da "uomo nel mezzo" e intercetta tutti i messaggi di Bob, che crede di essere in comunicazione sicura con Alice.

L'attacco è stato descritto per la prima volta da Gavin Lowe nel 1995. La versione corretta del protocollo, chiamata Needham-Schroeder-Lowe, sostituisce il sesto messaggio

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

con

${\displaystyle B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}}$

In questo modo Alice si può accorgere che i messaggi non arrivano dall'intruso, con cui aveva iniziato la comunicazione, ma da Bob.

Voci correlate[modifica | modifica wikitesto]

• Protocollo Woo-Lam
• Kerberos
• Protocollo di Otway-Rees
• Crittografia simmetrica
• Crittografia asimmetrica
• Key distribution center

Altri progetti[modifica | modifica wikitesto]

• Wikimedia Commons contiene immagini o altri file su protocollo di Needham-Schroeder

Collegamenti esterni[modifica | modifica wikitesto]

• (EN) Descrizione del protocollo a chiave segreta, su lsv.ens-cachan.fr.
• (EN) Descrizione del protocollo a chiave pubblica, su lsv.ens-cachan.fr.
• (EN) Descrizione del protocollo corretto da Lowe, su lsv.ens-cachan.fr.