Diskussion:Needham-Schroeder-Protokoll
Ist die konvention nicht so?: N_A ist Nonce von A, N_B ist Nonce von B und I_A ist Identität von A und I_B ist Identität von B
Probleme und Lösungsansätze[Quelltext bearbeiten]
Der ganze Absatz betrifft doch nur die symmetrische Variante. Sollte man vllt. irgendwie besser kenntlich machen. -- 130.83.111.199 13:40, 12. Mär. 2010 (CET)
In diesem Absatz wird auch angedeutet,dass das Otway-Rees Protokoll mit Timestamps arbeitet. Was aber nicht korrekt ist ! (nicht signierter Beitrag von 188.23.36.90 (Diskussion) 01:26, 16. Mär. 2011 (CET))
Beide Anmerkungen sind nun umgesetzt. -- Chwinter (Diskussion) 13:33, 4. Jan. 2017 (CET)
Fehler bei Schutz gegen Replay-Attacke im symmetrischen Protokoll[Quelltext bearbeiten]
Im letzten Absatz zu "Symmetrisches Needham-Schroeder-Protokoll" wird behauptet, die Verwendung einer Nonce würde gegen eine Replay Attacke schützen, was nicht der Fall ist.
Angriff dazu:
* Angreifer hört Nachicht 3 ab und Nachichten, die mit S_k verschlüsselt wurden. Der Angreifer knackt mithilfe der mit S_k verschlüsselten Nachichten S_k * Angreifer spielt nachdem er S_k geknackt hat 3 neu ein. * B antwortet mit Nachicht 4, der Angreifer kennt aber S_k und kann die Nachicht entschlüsseln. * Der Angreifer muss nur wissen in welcher Form die Nonce verändert werden muss, verändert sie und schickt sie zurück. * B verwendet dann einen alten, geknackten S_k
(beschrieben in "Security Engineering" von Ross Anderson : http://www.cl.cam.ac.uk/~rja14/Papers/SEv2-c03.pdf "Needham-Schroeder Protocol" )
Abhilfe schaffen Timestamps. In Nachicht 3 muss ein Timestamp mit K_b verschlüsselt enthalten sein. Wenn der Angreifer nun Nachicht 3 einspielt kann B anhand des Timestamps sehen, dass es sich um eine alte Nachicht handelt und diese verwerfen. Timestamps ermöglichen allerdings neue Angriffe. (Angriff auf Uhren, indem man versucht die Zeit eines Teilnehmers zu manipulieren, NTP o.ä.) (nicht signierter Beitrag von 2001:638:708:30DA:8CA7:4318:859F:1515 (Diskussion | Beiträge) 14:35, 13. Jun. 2013 (CEST))
fehlerhafte asymmetrische Variante dargestellt[Quelltext bearbeiten]
Oben steht: "Die auf asymmetrischer Kryptographie basierende Variante des Needham-Schroeder-Protokolls enthielt einen Fehler" aber unten wird genau diese fehlerhafte asymmetrische Variante dargestellt. Demnach muss das "enthielt" in dem Satz entsprechend "enthält" lauten.
Außerdem sollte man unten ganz klar darstellen, dass es sich bei dem dargestellten Protokoll um die fehlerhafte Variante handelt!
Im Papier "An Attack on the Needham-Schroeder Public-Key Authentication Protocol" von Gavin Lowe, August 22, 1995, Seite 4 Punkt 4 steht dazu (im Zitat bezeichnet Ka das, was im Artikel Pa heißt):
"to prevent the attack [..] we include the reponder's identity in message 6 of the protocol: 6. B -> A : { B, Na, Nb } Ka"
Dadurch kann ein "Intruder" dieses Paket nicht mehr an Alice schicken, damit sie an Intruder das Nb preisgibt, weil (nur) Alice weiß, dass sie mit Intruder spricht, und dieser nicht Bob ist. Da Intruder das Paket nicht entschlüsseln kann (es ist mit Pa verschlüsselt) kann er weder Nb ermitteln noch die Identität B durch sich selbst (I) austauschen.
Das Problem besteht übrigens nur bei Paketen, die verschlüsselt aber unsigniert geschickt werden, denn in der Signatur wäre die Identität ja enthalten.