ニーダム・シュローダープロトコル

ニーダム・シュローダープロトコルは、安全でないネットワーク上での使用を目的とした2つの主要なトランスポートプロトコルのうちの1つであり、どちらもロジャー・ニーダムとマイケル・シュローダーによって提案されました。^[1]これらは以下のとおりです。

• Needham -Schroeder対称鍵プロトコルは、対称暗号化アルゴリズムに基づいています。Kerberosプロトコルの基礎となっています。このプロトコルは、ネットワーク上の二者間でセッション鍵を確立し、通常はその後の通信を保護することを目的としています。
• ニーダム・シュレーダー公開鍵プロトコルは、公開鍵暗号に基づいています。このプロトコルは、ネットワーク上で通信する2者間の相互認証を目的としていますが、提案された形式は安全ではありません。

ここで、アリスは ボブへの通信を開始します。ボブは両者が信頼するサーバーです。通信では、以下のようになります 。${\displaystyle (A)}$${\displaystyle B}$${\displaystyle S}$

• ${\displaystyle A}$それぞれアリスとボブのアイデンティティである${\displaystyle B}$
• ${\displaystyle {K_{AS}}}$は、そしてのみに知られている対称鍵です${\displaystyle A}$${\displaystyle S}$
• ${\displaystyle {K_{BS}}}$は、そしてのみに知られている対称鍵です${\displaystyle B}$${\displaystyle S}$
• ${\displaystyle N_{A}}$およびはそれぞれおよびによって生成されるノンスである。${\displaystyle N_{B}}$${\displaystyle A}$${\displaystyle B}$
• ${\displaystyle {K_{AB}}}$生成された対称キーであり、と間のセッションのセッションキーになります。${\displaystyle A}$${\displaystyle B}$

プロトコルは、セキュリティ プロトコル表記法で次のように指定できます。

${\displaystyle A\rightarrow S:\left.A,B,N_{A}\right.}$

アリスは、自分とボブを識別して、ボブと通信したいことをサーバーに伝えるメッセージをサーバーに送信します。

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A\}_{K_{BS}}\}_{K_{AS}}}$

サーバーは、アリスがボブに転送するためのコピーと、アリス自身のコピーを生成し、アリスに返送します。アリスは複数の人物の鍵を要求する可能性があるため、ノンスによってアリスはメッセージが新しいこと、サーバーがその特定のメッセージに返信していることを保証されます。また、ボブの名前が含まれていることで、アリスはこの鍵を誰と共有すべきかを知ることができます。${\displaystyle {K_{AB}}}$${\displaystyle {K_{BS}}}$

${\displaystyle A\rightarrow B:\{K_{AB},A\}_{K_{BS}}}$

アリスはボブにキーを転送し、ボブはサーバーと共有しているキーを使用してそのキーを復号化し、データを認証します。

${\displaystyle B\rightarrow A:\{N_{B}\}_{K_{AB}}}$

ボブは、自分が鍵を持っていることを示すために、暗号化された nonce をアリスに送信します。${\displaystyle {K_{AB}}}$

${\displaystyle A\rightarrow B:\{N_{B}-1\}_{K_{AB}}}$

アリスは nonce に対して簡単な操作を実行し、それを再暗号化して、自分がまだ生きていることと鍵を保持していることを確認して送り返します。

このプロトコルはリプレイ攻撃に対して脆弱です（ DenningとSacco ^[2]によって特定されています）。攻撃者が⁠ ⁠${\displaystyle K_{AB}}$に古くて侵害された値を使用した場合、ボブにメッセージをリプレイすることができ、ボブは鍵が新しいものではないと判断できないため、メッセージを受け入れてしまいます。 ${\displaystyle \{K_{AB},A\}_{K_{BS}}}$

この欠陥は、Kerberosプロトコルではタイムスタンプを組み込むことで修正されています。また、後述するナンスを使用することでも修正可能です。^[3]プロトコルの冒頭部分：

${\displaystyle A\rightarrow B:A}$

アリスはボブにリクエストを送信します。

${\displaystyle B\rightarrow A:\{A,N_{B}'\}_{K_{BS}}}$

ボブは、サーバーのキーで暗号化された nonce で応答します。

${\displaystyle A\rightarrow S:\left.A,B,N_{A},\{A,N_{B}'\}_{K_{BS}}\right.}$

アリスは、自分とボブを識別して、ボブと通信したいことをサーバーに伝えるメッセージをサーバーに送信します。

${\displaystyle S\rightarrow A:\{N_{A},K_{AB},B,\{K_{AB},A,N_{B}'\}_{K_{BS}}\}_{K_{AS}}}$

nonce が含まれていることに注意してください。

その後、プロトコルは上記の元のプロトコルで説明した最後の3つのステップまで、記述どおりに続行されます。 は⁠ ⁠とは異なるノンスであることに注意してください。この新しいノンスを含めることで、 の侵害されたバージョンの再生を防ぐことができます。なぜなら、そのようなメッセージは、攻撃者が⁠ ⁠を持っていないため偽造できない形式である必要があるからです。 ${\displaystyle N_{B}'}$${\displaystyle N_{B}}$${\displaystyle \{K_{AB},A\}_{K_{BS}}}$${\displaystyle \{K_{AB},A,N_{B}'\}_{K_{BS}}}$${\displaystyle K_{BS}}$

これは、公開鍵暗号化アルゴリズムの使用を前提としています。

ここで、アリスとボブは信頼できるサーバーを利用して、リクエストに応じて公開鍵を配布します。これらの鍵は以下のとおりです。 ${\displaystyle (A)}$${\displaystyle (B)}$${\displaystyle (S)}$

• ${\displaystyle K_{PA}}$および⁠ ⁠ は${\displaystyle K_{SA}}$、それぞれ（ここでは「秘密鍵」を表す）に属する暗号化鍵ペアの公開鍵と秘密鍵の半分である。${\displaystyle A}$${\displaystyle S}$
• ${\displaystyle K_{PB}}$そして⁠ ⁠${\displaystyle K_{SB}}$、類似のもの${\displaystyle B}$
• ${\displaystyle K_{PS}}$および⁠ ⁠ は、 ${\displaystyle K_{SS}}$⁠${\displaystyle S}$ ⁠に属し、同様に⁠ ⁠に属します。(この鍵ペアはデジタル署名に使用されます。つまり、メッセージの署名に使用され、検証に使用されます。 プロトコルが開始する前にとが知っている必要があります。)${\displaystyle K_{SS}}$${\displaystyle K_{PS}}$${\displaystyle K_{PS}}$${\displaystyle A}$${\displaystyle B}$

プロトコルは次のように実行されます。

${\displaystyle A\rightarrow S:\left.A,B\right.}$

${\displaystyle A}$⁠ ${\displaystyle B}$⁠から⁠ ${\displaystyle S}$⁠の公開鍵を要求します。

${\displaystyle S\rightarrow A:\{K_{PB},B\}_{K_{SS}}}$

${\displaystyle S}$認証のためにサーバーによって署名された公開鍵と ⁠ ⁠ の ID で応答します。${\displaystyle K_{PB}}$${\displaystyle B}$

${\displaystyle A\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

${\displaystyle A}$ランダムに選択して⁠ ⁠に送信します。${\displaystyle N_{A}}$${\displaystyle B}$

${\displaystyle B\rightarrow S:\left.B,A\right.}$

${\displaystyle B}$⁠ ⁠ は A が通信を望んでいることを知ったので、⁠ ⁠の公開鍵を要求します。${\displaystyle B}$${\displaystyle A}$

${\displaystyle S\rightarrow B:\{K_{PA},A\}_{K_{SS}}}$

サーバーが応答します。

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle B}$ランダムな⁠ ⁠${\displaystyle N_{B}}$を選択し、⁠ ⁠で復号できることを証明するために⁠ ⁠ と一緒に⁠ ⁠ に送信します。${\displaystyle A}$${\displaystyle N_{A}}$${\displaystyle K_{SB}}$

${\displaystyle A\rightarrow B:\{N_{B}\}_{K_{PB}}}$

${\displaystyle A}$⁠ ⁠に確認し、 ⁠ ⁠で復号化できることを証明します。${\displaystyle N_{B}}$${\displaystyle B}$${\displaystyle K_{SA}}$

プロトコルの最後に、と は互いのIDを知り、と の両方を知ります。これらのノンスは盗聴者には知られません。 ${\displaystyle A}$${\displaystyle B}$${\displaystyle N_{A}}$${\displaystyle N_{B}}$

このプロトコルは中間者攻撃に対して脆弱です。もし詐欺師が相手を説得してセッションを開始させることができれば、メッセージを中継し、相手が⁠ ⁠であると信じ込ませることができます。 ${\displaystyle I}$${\displaystyle A}$${\displaystyle B}$${\displaystyle B}$${\displaystyle A}$

変更されていない との間のトラフィックを無視すると、攻撃は次のように実行されます。 ${\displaystyle S}$

${\displaystyle A\rightarrow I:\{N_{A},A\}_{K_{PI}}}$

${\displaystyle A}$⁠ ⁠に送信され、⁠ ⁠ は⁠ ⁠でメッセージを復号化します。${\displaystyle N_{A}}$${\displaystyle I}$${\displaystyle K_{SI}}$

${\displaystyle I\rightarrow B:\{N_{A},A\}_{K_{PB}}}$

${\displaystyle I}$通信しているふりをして、メッセージを⁠ ⁠${\displaystyle B}$に中継します。${\displaystyle A}$

${\displaystyle B\rightarrow I:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle B}$送信します。${\displaystyle N_{B}}$

${\displaystyle I\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

${\displaystyle I}$それを⁠ ⁠${\displaystyle A}$に中継します。

${\displaystyle A\rightarrow I:\{N_{B}\}_{K_{PI}}}$

${\displaystyle A}$それを復号して、それを知った⁠ ⁠に確認します。${\displaystyle NB}$${\displaystyle I}$

${\displaystyle I\rightarrow B:\{N_{B}\}_{K_{PB}}}$

${\displaystyle I}$⁠ ⁠${\displaystyle N_{B}}$を再暗号化し、それを復号化したと確信します。${\displaystyle B}$

攻撃の最後に、は 、が自分と通信しており、とはとのみに知られていると誤って信じます。${\displaystyle B}$${\displaystyle A}$${\displaystyle N_{A}}$${\displaystyle N_{B}}$${\displaystyle A}$${\displaystyle B}$

次の例は、この攻撃を示しています。アリス ( ⁠ ⁠${\displaystyle A}$ ) は銀行 ( ⁠ ⁠${\displaystyle B}$ ) に連絡を取りたいと考えています。ここでは、詐欺師 ( ⁠ ⁠${\displaystyle I}$ )が自分は銀行だと信じ込ませることに成功したと想定しています。結果として、アリスが銀行に送るメッセージを暗号化するために、 の公開鍵ではなくの公開鍵を使用します。したがって、 は⁠ ⁠の公開鍵で暗号化された nonce を送信します。は自分の秘密鍵を使用してメッセージを復号化し、の公開鍵で暗号化されたの nonce を送信して⁠ ⁠ に連絡します。には、このメッセージが実際に⁠ ⁠から送信されたことを知る方法はありません。は自分の nonce で応答し、 ⁠ ⁠の公開鍵でメッセージを暗号化します。はの秘密鍵を所有していないため、内容を知らずにメッセージを ⁠ ⁠ に中継する必要があります。 A は自分の秘密鍵でメッセージを復号化し、 ⁠ ⁠の公開鍵で暗号化されたの nonce で応答します。は自分の秘密鍵を使用してメッセージを復号化し、今では nonceと⁠ ⁠を所有しています。したがって、彼らはそれぞれ銀行と顧客になりすますことができるようになりました。 ${\displaystyle A}$${\displaystyle A}$${\displaystyle I}$${\displaystyle B}$${\displaystyle A}$${\displaystyle I}$${\displaystyle I}$${\displaystyle I}$${\displaystyle B}$${\displaystyle A}$${\displaystyle B}$${\displaystyle B}$${\displaystyle I}$${\displaystyle B}$${\displaystyle A}$${\displaystyle I}$${\displaystyle A}$${\displaystyle A}$${\displaystyle B}$${\displaystyle I}$${\displaystyle I}$${\displaystyle A}$${\displaystyle B}$

この攻撃は、1995年にギャビン・ロウによって発表された論文^[4]で初めて説明されました。 この論文では、ニーダム・シュローダー・ロウ・プロトコルと呼ばれる、この手法の修正版も説明されています。この修正では、6番目のメッセージに応答者のIDを含めるように変更します。つまり、以下のコードを置き換えます 。

${\displaystyle B\rightarrow A:\{N_{A},N_{B}\}_{K_{PA}}}$

修正バージョン:

${\displaystyle B\rightarrow A:\{N_{A},N_{B},B\}_{K_{PA}}}$

侵入者は、 ⁠ ⁠が${\displaystyle A}$⁠ ⁠${\displaystyle I}$の ID を含むメッセージを期待していますが、メッセージの ID は⁠ ⁠${\displaystyle B}$のものであるため、メッセージを正常に再生できません。

• ケルベロス
• オトウェイ・リース議定書
• ヤハロム
• ワイドマウスフロッグプロトコル
• ニューマン・スタブルバインプロトコル
• ディフィー・ヘルマン鍵交換

ウィキメディア・コモンズには、ニーダム・シュローダー・プロトコルに関連するメディアがあります。

• ロジャー・ニーダム;マイケル・シュレーダー (1978)。 「ニーダム・シュローダー公開鍵」。ラボラトワールの仕様と検証。
• ロジャー・ニーダム;マイケル・シュレーダー (1978)。 「ニーダム・シュレーダー対称鍵」。ラボラトワールの仕様と検証。
• ギャビン・ロウ (1995)。 「Lowe の修正バージョンの Needham-Schroder 公開鍵」。ラボラトワールの仕様と検証。
• Computerphileによる中間者攻撃の説明。