Protocollo di Needham-Schroeder

Con il termine generico di protocollo di Needham-Schroeder si possono identificare due protocolli di comunicazione progettati per permettere comunicazioni cifrate su reti non sicure.

Schema del protocollo di Needham-Schroeder a chiave segreta

I protocolli furono proposti da Roger Needham e Michael Schroeder nel 1978.

• Il protocollo di Needham-Schroeder a chiave segreta è basato sulla crittografia simmetrica ed è alla base del protocollo di rete Kerberos. Il protocollo permette di stabilire una chiave di sessione utilizzabile da due entità di rete per proteggere le successive comunicazioni.
• Il protocollo di Needham-Schroeder a chiave pubblica è invece basato sulla crittografia asimmetrica e permette di assicurare la mutua autenticazione tra due entità di rete. Nella sua forma proposta non è sicuro.

Il protocollo a chiave segreta

Scenario

• Alice (${\displaystyle A}$ ) e Bob (${\displaystyle B}$ ) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
• ${\displaystyle S}$  è un server fidato, ovvero che gode della fiducia di entrambe le parti.
• ${\displaystyle K_{AS}}$  è una chiave simmetrica nota esclusivamente ad ${\displaystyle A}$  e ${\displaystyle S}$ .
• ${\displaystyle K_{BS}}$  è una chiave simmetrica nota esclusivamente a ${\displaystyle B}$  e ${\displaystyle S}$ .
• ${\displaystyle K_{AB}}$  è una chiave simmetrica di sessione generata da ${\displaystyle S}$  durante l'esecuzione dei passi del protocollo.
• ${\displaystyle N_{A}}$  e ${\displaystyle N_{B}}$  sono nonce crittografici, ovvero numeri casuali da usare una volta sola.

Si suppone che sia ${\displaystyle A}$  a cominciare la comunicazione.

Descrizione

Alice spedisce un messaggio al server con la sua identità e quella di Bob, per dichiarare che intende comunicare con Bob. Allega anche un numero ${\displaystyle N_{A}}$ :

${\displaystyle A\rightarrow S:A,B,N_{A}}$ 

Il server genera la chiave di sessione ${\displaystyle {K_{AB}}}$  e risponde ad Alice inviandole:

• la chiave ${\displaystyle {K_{AB}}}$  appena generata,
• la coppia ${\displaystyle (K_{AB},A)}$  criptata con la chiave ${\displaystyle K_{BS}}$ , in modo che possa essere inoltrata a Bob perché venga reso partecipe,
• il nonce ${\displaystyle N}$  che assicura ad Alice che il messaggio è nuovo e che il server sta rispondendo a quel particolare messaggio.
• B: l'inclusione dell'identificatore di Bob dice ad Alice con chi lei sta condividendo la chiave.

Il tutto è criptato con la chiave segreta ${\displaystyle K_{AS}}$ , nota solo ad Alice e al server:

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}}$ 

Alice comunica a Bob la chiave di sessione e il proprio identificativo, criptati con la chiave ${\displaystyle K_{BS}}$ , come comunicata dal server con il precedente messaggio. Bob può decriptare il messaggio e il fatto che sia stato cifrato da una entità fidata (il server) lo rende autentico:

${\displaystyle A\rightarrow B:\{K_{AB},A\}_{K_{BS}}}$ 

Bob risponde ad Alice con un nonce criptato con la chiave di sessione ${\displaystyle {K_{AB}}}$ , per mostrare che è in possesso della chiave:

${\displaystyle B\rightarrow A:\{N_{B}\}_{K_{AB}}}$ 

Alice decifra il nonce di Bob, lo modifica con una semplice operazione, lo cifra nuovamente e lo rispedisce indietro, provando così che è ancora attiva e in possesso della chiave:

${\displaystyle A\rightarrow B:\{N_{B}-1\}_{K_{AB}}}$ 

Da questo momento in poi la comunicazione è pienamente stabilita e viene condotta da entrambe le parti inviando messaggi cifrati con la chiave di sessione ${\displaystyle K_{AB}}$ .

Vulnerabilità

Il protocollo è suscettibile ad attacchi di tipo replay.

Attacco Replay:

Se un attaccante ${\displaystyle E}$  conosce una vecchia chiave ${\displaystyle K'_{AB}}$  scambiata in una precedente esecuzione del protocollo, allora:

• ${\displaystyle E}$  può replicare il messaggio ${\displaystyle \{K'_{AB},A\}_{K_{BS}}}$  a Bob
• Bob accetta la chiave ${\displaystyle K'_{AB}}$  non sapendo che è compromessa (quindi non sa che la chiave non è nuova)

Soluzione:

utilizzare i timestamp all'interno dei messaggi (ciò si vedrà come si utilizza nel protocollo di rete Kerberos)

Il protocollo a chiave pubblica

Scenario

• Alice (${\displaystyle A}$ ) e Bob (${\displaystyle B}$ ) sono due entità di rete che devono comunicare in modo sicuro utilizzando un collegamento di rete non sicuro.
• ${\displaystyle S}$  è un server che gode della fiducia di entrambi e si occupa di distribuire chiavi pubbliche su richiesta.
• ${\displaystyle K_{PA}}$  e ${\displaystyle K_{SA}}$  sono rispettivamente la chiave pubblica e la chiave segreta di Alice.
• ${\displaystyle K_{PB}}$  e ${\displaystyle K_{SB}}$  similmente sono le chiavi Bob.
• ${\displaystyle K_{PS}}$  e ${\displaystyle K_{SS}}$  similmente sono le chiavi del server.

È importante specificare che mentre Alice e Bob usano la chiave pubblica per cifrare e quella privata per decifrare, il server usa la chiave privata ${\displaystyle K_{SS}}$  per cifrare e la chiave pubblica ${\displaystyle K_{PS}}$  per decifrare; così facendo il server firma le proprie comunicazioni.

Descrizione

Alice chiede al server la chiave pubblica di Bob:

${\displaystyle A\rightarrow S:A,B}$ 

Il server risponde, inviando anche l'identificativo di Bob per conferma. Alice può usare la chiave pubblica ${\displaystyle K_{PS}}$  per verificare la firma di ${\displaystyle S}$  e verificarne l'autenticità confrontando l'id di Bob ricevuto con quello in suo possesso:

${\displaystyle S\rightarrow A:\{K_{PB},B\}_{K_{SS}}}$ 

Alice genera un nonce ${\displaystyle N_{A}}$  e lo invia a Bob cifrandolo con la chiave appena ricevuta:

${\displaystyle A\rightarrow B:\{N_{A},A\}_{K_{PB}}}$ 

Bob decifra il messaggio mediante la sua chiave privata, vede che è di Alice e richiede la sua chiave pubblica al server:

${\displaystyle B\rightarrow S:B,A}$ 

Il server soddisfa la richiesta di Bob:

${\displaystyle S\rightarrow B:\{K_{PA},A\}_{K_{SS}}}$ 

Bob genera un nounce ${\displaystyle N_{B}}$  e lo invia ad Alice insieme a ${\displaystyle N_{A}}$ , per provare che è in possesso della chiave privata ${\displaystyle K_{SB}}$ :

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$ 

Alice conferma ${\displaystyle N_{B}}$  a Bob per provare a sua volta che è in possesso della chiave privata ${\displaystyle K_{SA}}$ 

${\displaystyle A\rightarrow B:\{N_{B}\}_{K_{PB}}}$ 

Da questo momento in poi Alice e Bob si sono autenticati a vicenda e sono gli unici a conoscenza di ${\displaystyle N_{A}}$  e ${\displaystyle N_{B}}$ .

Vulnerabilità

Il protocollo è suscettibile ad attacchi di tipo man in the middle: un impostore ${\displaystyle I}$  può ingannare Alice e convincerla a iniziare una sessione di comunicazione con lui e successivamente inoltrare i messaggi a Bob convincendolo di essere in comunicazione con Alice.

A parte le comunicazioni con ${\displaystyle S}$ , che rimangono inalterate, l'attacco si svolge come segue:

Alice invia ${\displaystyle N_{A}}$  a ${\displaystyle I}$ , che decifra il messaggio con ${\displaystyle K_{SI}}$ :

${\displaystyle A\rightarrow I:\{N_{A},A\}_{K_{PI}}}$ 

${\displaystyle I}$  inoltra il messaggio a Bob, cifrandolo con la corrispettiva chiave pubblica, fingendo che sia Alice a voler comunicare con lui:

${\displaystyle I\rightarrow B:\{N_{A},A\}_{K_{PB}}}$ 

Bob risponde inviando ${\displaystyle N_{B}}$ . Questo messaggio arriva a ${\displaystyle I}$ , che non può decifrarlo perché non è in possesso di ${\displaystyle K_{SA}}$ :

${\displaystyle B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}}$ 

${\displaystyle I}$  lo inoltra ad Alice:

${\displaystyle I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$ 

Alice crede che ${\displaystyle N_{B}}$  sia il nounce di ${\displaystyle I}$ , quindi lo conferma come da protocollo:

${\displaystyle A\rightarrow I:\{N_{B}\}_{K_{PI}}}$ 

Ora ${\displaystyle I}$  conosce ${\displaystyle N_{B}}$ , lo cifra con ${\displaystyle K_{PB}}$  e invia a Bob, che vede una conferma valida.

${\displaystyle I\rightarrow B:\{N_{B}\}_{K_{PB}}}$ 

${\displaystyle I}$  agisce da "uomo nel mezzo" e intercetta tutti i messaggi di Bob, che crede di essere in comunicazione sicura con Alice.

L'attacco è stato descritto per la prima volta da Gavin Lowe nel 1995. La versione corretta del protocollo, chiamata Needham-Schroeder-Lowe, sostituisce il sesto messaggio

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$ 

con

${\displaystyle B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}}$ 

In questo modo Alice si può accorgere che i messaggi non arrivano dall'intruso, con cui aveva iniziato la comunicazione, ma da Bob.

Voci correlate

• Protocollo Woo-Lam
• Kerberos
• Protocollo di Otway-Rees
• Crittografia simmetrica
• Crittografia asimmetrica
• Key distribution center

Altri progetti

Altri progetti

• Wikimedia Commons

•   Wikimedia Commons contiene immagini o altri file su protocollo di Needham-Schroeder

Collegamenti esterni

• (EN) Descrizione del protocollo a chiave segreta, su lsv.ens-cachan.fr.
• (EN) Descrizione del protocollo a chiave pubblica, su lsv.ens-cachan.fr.
• (EN) Descrizione del protocollo corretto da Lowe, su lsv.ens-cachan.fr.

  Portale Crittografia

  Portale Sicurezza informatica