Encrypted Key Exchange

Encrypted Key Exchange (anche detta EKE) è una famiglia di metodi di interazione tra due o più partecipanti per l'autenticazione e la condivisione di una chiave crittografica di sessione. Basati sulla conoscenza condivisa di una comune password, sono stati descritti da Steven M. Bellovin e Michael Merritt.^[1] Alcune varianti di EKE presenti nella pubblicazione originale hanno mostrato diverse debolezze, ma altre sue varianti, migliorate e potenziate, hanno reso EKE il primo metodo efficace per ricavare una chiave di sessione condivisa e l'autenticazione mutua mediante una password condivisa.

Schema dello scambio di chiavi DH-EKE

Requisiti

Un protocollo EKE per essere considerato sicuro deve poter garantire la robustezza nei confronti di diversi attacchi:

• anche se le due parti condividono una password debole il protocollo deve essere forte rispetto attacchi off-line (dizionario, forza bruta) sui pacchetti scambiati;
• il protocollo deve essere robusto nei confronti dei replay attack.

DH-EKE

Una delle versioni presenti nella pubblicazione originale ed effettivamente sicura è basata sul metodo di scambio di chiavi Diffie-Hellman. Si riporta di seguito il protocollo. Si supponga che ${\displaystyle A}$  sia il client, ${\displaystyle S}$  sia il server e ${\displaystyle w}$  sia ${\displaystyle H(password)}$  con ${\displaystyle H}$  funzione crittografica di hash.

${\displaystyle A\rightarrow S:w[g^{a}mod(p)]}$ 

con ${\displaystyle w[g^{a}mod(p)]}$  indichiamo la cifratura con un algoritmo a chiave simmetrica di ${\displaystyle g^{a}mod(p)}$  con la chiave ${\displaystyle w}$ 

${\displaystyle S\rightarrow A:K(n_{1}),w[g^{b}mod(p)]}$ 

${\displaystyle S}$  calcola K come ${\displaystyle k=g^{ab}mod(p)}$  e sceglie un nonce ${\displaystyle n_{1}}$ 

${\displaystyle A\rightarrow S:K(n_{1},n_{2})}$ 

${\displaystyle A}$  può decifrare il challenge ${\displaystyle K(n_{1})}$  selezionare un nuovo nonce ${\displaystyle n_{2}}$ . In questo modo invia un challenge al server e nel contempo mostra di conoscere ${\displaystyle K}$  autenticandosi come ${\displaystyle A}$  verso il server

${\displaystyle S\rightarrow A:K(n_{2})}$ 

il server risponde al challenge autenticandosi verso ${\displaystyle A}$ . Di qui in poi i due attori del protocollo sono autenticati e dispongono di una chiave di sessione. Si noti che un attacco brute force sui messaggi cifrati con ${\displaystyle w}$  sono inattuabili poiché un attaccante non può verificare (se non per tentativi on-line) che la decifratura è andata a buon fine. La quantità ${\displaystyle g^{a}mod(p)}$  è infatti casuale. Lo stesso motivo (la scelta di quantità ${\displaystyle a}$  e ${\displaystyle b}$  casuali mette al sicuro il protocollo nei confronti di reply-attack).

Vulnerabilità di DH-EKE

DH-EKE è vulnerabile ad un attacco di discovery sul database del server. Se infatti un malintenzionato riuscisse a rubare l'hash ${\displaystyle w}$  potrebbe inscenare un protocollo di autenticazione sia camuffandosi da server, che da client.

Augmented-EKE

Per eliminare la vulnerabilità precedente si fa in modo che il server conservi non la password, ma una quantità derivata da una funzione one-way applicata sulla stessa. In questo modo un attaccante anche rubando le informazioni presenti sul server non può utilizzarle per rimpiazzare il client.

Note

1. ^ S. M. Bellovin e M. Merritt, Encrypted Key Exchange: Password-Based Protocols Secure Against Dictionary Attacks, Proceedings of the I.E.E.E. Symposium on Research in Security and Privacy, Oakland, maggio 1992.

Collegamenti esterni

• http://www.cs.columbia.edu/~smb/papers/aeke.ps

  Portale Crittografia

  Portale Sicurezza informatica